-
Se aloja en la Tabla principal de archivos (MFT) y reescribe el registro de arranque principal (MBR)
-
Los usuarios reportan que hasta los parches de seguridad pueden verse comprometidos.
Un nuevo ataque de de virus Ramsomware estรก en curso, del mismo tipo del famoso WannaCry que infectรณ a mรกs de 200.000 equipos y 150 paรญses el mes pasado. Ya afectรณ a Rumania, Rusia, Espaรฑa, India, el Reino Unido y a Estados Unidos a travรฉs de la farmacรฉutica Merk.
El virus es una variante del ya conocido Petya y se diferencia de los demรกs de su tipo porque no se limita a cifrar los archivos de la vรญctima uno a uno, sino que se aloja en la Tabla principal de archivos (MFT por sus siglas en inglรฉs) y reescribe el registro de arranque principal (MBR) imposibilitando que se reinicie el equipo. Los usuarios reportan que hasta los parches de seguridad pueden verse comprometidos.
Al parecer explota vulnerabilidades ya anunciadas pero no resueltas de los sistemas operativos basados en Windows, al momento del ataque, la vรญctima recibe un mensaje, muy parecido al de WannaCry, ย informando que sus archivos han sido secuestrados ย y que debe transferir la cantidad ย de 300 US$ en bitcoins ย a cambio devolver, vรญa correo electrรณnico, una llave que libera el cifrado.
Hasta ahora, se reportan infectados la petrolera Rusa Rosineft, las compaรฑรญas elรฉctricas Ucranianas Kyivenergo y Ukrenergo, la minera Evraz, el aeropuerto Boryspil, y las empresas de telecomunicaciรณn Kyivstar, LifeCell, Ukrtelecom ademรกs de los bancos Oschadbank y NBU de รฉse paรญs. La farmacรฉutica Merk y Mondelez International, ambas de Estados Unidos anunciaron que sus equipos tambiรฉn habรญan sido vรญctimas. Ademรกs de la empresa ย A.P. Moller – Maersk con base en Copenhage y el sistema de subterrรกneos ย alemรกn. La empresa publicitaria WPP del Reino Unido y el capitulo espaรฑol de la firma de abogados DLA Piper. Entre, al menos, 100 empresas a nivel mundial.
Para el momento de escribir รฉsta nota, los secuestradores habรญan recibido el pago de 29 personas, por el equivalente de poco mรกs de 3 BTC.
Por ahora, lo principal es mantener la calma y protegerse con medidas bรกsicas, vรกlidas para cualquier ramsomware:
- Sospeche siempre de archivos no deseados o solicitados vรญa correo electrรณnico
- Nunca haga click en enlaces dentro de correos de los que no conoce la fuente
- Mantenga una rutina de respaldos de archivos valiosos en un dispositivo externo que no siempre estรฉ conectado a su mรกquina
- Mantenga un buen antivirus actualizado
- Navegue por internet con seguridad y sensatez
Researcher’s tactic for #Petya/#NotPetya: cut power to halt the reboot that initiates final encryption, so files can be rescued off-disk/box https://t.co/cDWrqWRnRj
โ Edward Snowden (@Snowden) 27 de junio de 2017
Si ha sido vรญctima del ataque:
- Aรญsle los dispositivos infectados de la red tan pronto como sea posible
- Antes de que el proceso de secuestro se concluya, la maquina se reinicia y aparecerรก un mensaje diciendo que se estรกn โreparandoโ los discos, desconecte o apague los equipos antes de que ese scan concluya.
- Restaure las copias de seguridad, asegรบrese de haber instalado el parche de Microsoft recomendado para รฉste virus especรญfico y espere la confirmaciรณn de que es seguro antes de volver a conectar el sistema a la red
