Martes, 11 de Diciembre de 2018

 

  • Inicio
  • Recomendaciones ante el malware PETYA por el CCN-CERT

Recomendaciones ante el malware PETYA por el CCN-CERT

Recomendaciones ante el malware PETYA por el CCN-CERT
Ante la campaña de ransomware detectada esta mañana, que afecta a sistemas Windows, el CCN-CERT señala que, en este caso, sí es necesaria la interacción del usuario a través de un vector de infección, probablemente basado en el correo electrónico (spear-phishing).
 
El ataque recibido en el e-mail puede explotar alguna vulnerabilidad de Microsoft Office que, según diversas investigaciones podría ser la CVE-2017-0199. Seguidamente se propagaría a través de infecciones en las carpetas compartidas en la red de la Organización afectada.  Además, intenta utilizar las vías de infección del exploit que aprovecha la vulnerabilidad de Microsoft MS 17-010. En el caso de que el sistema estuviera parcheado ante esta vulnerabilidad, el malware utiliza una alternativa basada en la ejecución de la aplicación propietaria del sistema Windows “Psexec” en carpetas compartidas sobre el sistema víctima.
Proceso creado:
C:WindowsSystem32rundll32.exe "C:Windowsperfc.dat" #1

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.

Recomendaciones
 
-El CCN-CERT recomienda la actualización a los últimos parches de seguridad de Office y de Windows.
Añadiendo a todas las indicaciones previas e importante si se puede prevenir; la amenaza una vez infecta la maquina solicita el reinicio al usuario. Por favor NO reinicien la maquina si tienen sospechas que pueda estar infectada
Se recuerda que efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.
En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los archivos que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.
De las siguientes url se pueden descargar las actualizaciones de Windows
 
Fuente: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4679-punto-de-situacion-informacion-actualizada-del-ataque-de-ransomware-2.html 

 



Comentarios

Vea todos los comentarios

Comparte esta publicación

Calendario de Eventos

Ant. Diciembre 2018 Sig.
LMMiJVSD
12
3456789
10111213141516
17181920212223
24252627282930
31
Acerca de este Portal Nexura