¿Existe una defensa contra el virus Petya Ransomware?

Medidas de prevención:

• Para mantenerse a salvo de tales ataques de ransomware, todas las organizaciones y usuarios deben asegurarse de que los parches lanzados por Microsoft se hayan actualizado o parcheado inmediatamente, como se muestra a continuación.
  NSA hacking ToolPatch InformationDescargar Link “EternalBlue” MS17-010https: //technet.microsoft.com/
  library / security / ms17-010.aspx “EmeraldThread” MS10-061https: //technet.microsoft.com/
  biblioteca / seguridad / ms10-061 “EternalChampion” CVE-2017-0146 y CVE-2017-0147A: https: //portal.msrc.microsoft.c
  om / es-es / seguridad-orientación /
  aviso / CVE-2017-0146B: https: //portal.msrc.microsoft.c
  om / es-es / seguridad-orientación /
  aviso / CVE-2017-0147 “EsikmoRoll” MS14-068https: //technet.microsoft.com/
  library / security / ms14-068.aspx “EternalRomance” MS17-010https: //technet.microsoft.com/
  library / security / ms17-010.aspx “EducatedScholar” MS09-050https: //technet.microsoft.com/
  biblioteca / seguridad / ms09-050 “EternalSynergy” MS17-010https: //technet.microsoft.com/
  library / security / ms17-010.aspx “EclipsedWing” MS08-067https: //technet.microsoft.com/
  es-es / biblioteca / seguridad /
  ms08-067.aspx “EnglishmanDentist” CVE-2017-8487https: //support.microsoft.com/en… “EsteemAudit” CVE-2017-0176https: //support.microsoft.com/en… “ExplodingCan” CVE-2017- 7269https: //support.microsoft.com/en… “ErraticGopher” CVE-2017-8461https: //support.microsoft.com/en… Los administradores deben bloquear la transmisión de todos los archivos ejecutables a través de correos electrónicos. Los administradores deben aislar el sistema afectado en El Administrador de red puede restaurar los archivos cifrados desde la copia de seguridad o desde el punto de restauración del sistema (si está habilitado) para los sistemas afectados. Instale y configure eScan con todos los módulos de seguridad activos. Escanee Monitorización en tiempo real. Escanee Protección proactiva. Escaneado. Firewall IDS / IPS. habilitar macros en documentos. Las organizaciones deben implementar y mantener una solución de respaldo. Lo más importante, las organizaciones deben implementar MailScan en el nivel de puerta de enlace para los servidores de correo, para contener la propagación de archivos adjuntos sospechosos.

  Conocí esto porque leí blogs de eScan: Petya Ransomware Advisory – Bienvenido al blog de eScan
  Ustedes pueden referir esto también

Este es el segundo ataque de rasomware en un mes después de Wannacry. La protección está en tu propia mano.

El software malicioso se ha extendido a través de grandes empresas, incluido el anunciante WPP, la compañía de alimentos Mondelez, la firma legal DLA Piper y la firma danesa de envío y transporte Maersk, lo que ha provocado que las computadoras y los datos sean encerrados y retenidos por rescate.

¿Como funciona?

Cuando una computadora está infectada, el ransomware encripta documentos y archivos importantes y luego exige un rescate, generalmente en Bitcoin, para obtener una clave digital necesaria para desbloquear los archivos. Si las víctimas no tienen una copia de seguridad reciente de los archivos, deben pagar el rescate o perder todos sus archivos.

El ransomware infecta las computadoras y luego espera aproximadamente una hora antes de reiniciar la máquina. Mientras la máquina se reinicia, puede apagar la computadora para evitar que los archivos se cifren e intentar rescatarlos de la máquina, según lo marcado por @HackerFantastic en Twitter.

Si el sistema se reinicia con la nota de rescate, no pague el rescate: la dirección de correo electrónico de “servicio al cliente” se ha cerrado, por lo que no hay forma de obtener la clave de descifrado para desbloquear sus archivos de todos modos. Desconecte su PC de Internet, vuelva a formatear el disco duro y vuelva a instalar sus archivos desde una copia de seguridad. Haga una copia de seguridad de sus archivos regularmente y mantenga actualizado su software antivirus

¿Cómo proteger sus sistemas contra el virus Petya?

1. Al igual que Wannacry, está explotando el sistema de Windows más antiguo. Descargue los parches que Microsoft proporciona durante la actualización.
2. Realice copias de seguridad periódicas de los archivos en la computadora
3. Instale programas de protección, lo notificarán cuando la PC esté bajo amenaza.
4. Recuerde nunca hacer clic en enlaces o correos electrónicos sospechosos.

En el peor de los casos, los datos están encriptados, visite un proveedor profesional de servicios de recuperación de datos de ransomware.

Hay otro ataque de ransomware ‘mundial’ y se está extendiendo rápidamente

Acabo de leer un artículo en el sitio web de Softonic que dice que hay un archivo que puede proteger para eliminar la posibilidad de infectarse con Petya.

Este archivo único lo protegerá del ataque de Petya Ransomware

Los investigadores han descubierto que si el malware se descarga en un sistema, buscará un archivo específico. Si el malware encuentra el archivo, saldrá del sistema sin cifrar nada. Deberá crear un archivo sin extensión y de solo lectura llamado perfc en la carpeta C: \\ Windows.

Parece que si bloquea C: \ Windows \ perfc.dat de escribir / ejecutar – detiene #Petya. Se utiliza para importar rundll32: pic.twitter.com/iX0hoPO2Dn

– Dave Kennedy (ReL1K) (@HackingDave) 27 de junio de 2017

Debe ir al Panel de control y buscar Opciones de carpeta . Vaya a Ver y, en Configuración avanzada, desactive Ocultar extensiones de archivo conocidas . Haga clic en Aplicar y luego en Aceptar

Luego debe abrir la carpeta C: \\ Windows . Cree una copia del archivo notepad.exe . Seleccione la copia del notepad.exe, cambie el nombre del archivo a perfc . Haga clic con el botón derecho en el archivo, vaya a propoerties y luego haga clic en Solo lectura .

Esto no matará al malware Petya pero, al menos por ahora, protegerá a su sistema individual de verse afectado.

Fuente: este archivo lo protegerá de los ataques de ransomware

Recientemente tuvimos un ataque de ransomware WannaCry y no se ha desvanecido por completo y obtuvimos este nuevo ransomware Petya.

A diferencia de WannaCry, no encripta sus archivos y carpetas, pero se reinicia, encripta la tabla maestra de archivos del disco duro (MFT) y hace que el registro de arranque maestro (MBR) no funcione, restringiendo el acceso al sistema completo al obtener información sobre nombres de archivos, carpetas, tamaños y ubicación en el disco físico. Impide que la computadora se inicie nuevamente. Utiliza el protocolo SMB y el protocolo WMIC.

Para salvaguardar esto, debe deshabilitar SMB y WMIC en su sistema. Nunca debe abrir documentos enviados a través de un correo electrónico y nunca debe hacer clic en los enlaces dentro de ellos a menos que verifique la fuente.

Mantenga siempre una copia de seguridad buena y oportuna de su sistema en otro lugar, como su disco duro externo.

Además, asegúrese de ejecutar un conjunto de seguridad antivirus bueno y efectivo en su sistema, y ​​manténgalo actualizado. Lo más importante, siempre navegue por Internet de manera segura.

Investigador de seguridad encuentra sistemas de cifrado de ransomware Petya después de reiniciar la computadora. Entonces, si su sistema está infectado con Petya ransomware e intenta reiniciarse, simplemente no lo vuelva a encender.

Espero que esta respuesta ayude.

” Conteniendo el daño

Petya fue diseñado principalmente para infectar computadoras con el fin de evitar que las organizaciones continúen sus operaciones diarias, en lugar de obtener beneficios financieros, y el ataque afectó las operaciones comerciales de muchas compañías, infligiéndoles graves daños financieros y de reputación. Los ataques de ransomware son extremadamente difíciles de prevenir, y lo mejor que pueden hacer las organizaciones para evitar serias consecuencias a largo plazo en caso de ser golpeados por uno es asegurarse de que tienen las herramientas para responder y contener el daño lo más rápido posible .

Esto se puede hacer mejor con la ayuda de una plataforma de respuesta a incidentes con capacidades de automatización y orquestación . Este tipo de plataformas pueden ayudar a los equipos de seguridad a reducir su tiempo de reacción cuando responden a un incidente, lo cual es crucial cuando ocurren ataques como Petya. Con un conjunto de acciones de libro de jugadas específicas para los ataques de ransomware, una plataforma de respuesta a incidentes permitirá a su equipo detectar y analizar el ataque más rápido, y le sugerirá una lista específica de acciones que pueden ayudar a contener el daño de la manera más efectiva posible. Cuando se trata de ataques de ransomware, las acciones de contención recomendadas incluyen aislar máquinas comprometidas, bloquear la comunicación a través de puertos y desconectar unidades compartidas , entre otras cosas.

Reacciones posteriores al incidente

Una vez que haya realizado las acciones de contención sugeridas, la plataforma lo ayudará a acelerar los procesos de recuperación y remediación , y a realizar el procedimiento adecuado posterior al incidente. Las reacciones posteriores al incidente son particularmente importantes cuando se trata de ataques de ransomware, ya que juegan un papel importante para garantizar el cumplimiento de las normas de notificación de incumplimiento que cubren este tipo de incidentes de ciberseguridad, como la Regla de notificación de incumplimiento de HIPAA en los EE. UU.

Para concluir, aunque prevenir ataques de ransomware es un desafío importante y no hay mucho que las organizaciones puedan hacer a ese respecto, hay muchas cosas que pueden hacer para reducir el impacto de tales incidentes y evitar consecuencias duraderas, que son generalmente asociado con este tipo de eventos de ciberseguridad “.

por DFLabs – Ciber Incidentes bajo control

Recomendaciones para el ataque de Ransomware Petya

• Implemente los últimos parches de Microsoft, incluido MS17-010 que parchea la vulnerabilidad de SMB
• Eduque a los usuarios finales a permanecer atentos al abrir archivos adjuntos o al hacer clic en enlaces de remitentes que no conocen
• Opere un modelo de acceso menos privilegiado con los empleados. Restringir quién tiene acceso a la administración local
• Considere deshabilitar SMBv1 para evitar la propagación de malware
• Asegúrese de que las actualizaciones automáticas estén activadas y se apliquen los últimos parches de seguridad
• Asegúrese de tener las últimas actualizaciones instaladas para su software antivirus, los proveedores están lanzando actualizaciones para cubrir esta vulnerabilidad a medida que se analizan las muestras.
• Eliminar software no deseado y complementos del navegador.

Acciones sugeridas para el ataque de Ransomware Petya

1. Administración de parches Asegúrese de que todas las estaciones de trabajo y servidores tengan los últimos parches de Microsoft, especialmente los relacionados con SMB (Microsoft)
2. Actualización antivirus de firmas AV en todos los activos. Personalmente, revise esta acción en los activos críticos y apunte a ellos primero. Obtenga los detalles con respecto al nombre del malware y verifique si este malware se ha detectado en los registros durante la última semana.
3. Soluciones Anti – APT Asegure que las firmas estén actualizadas. Verifique posibles fuentes internas de infección y tome medidas. Use sandboxing en archivos adjuntos. Use detecciones basadas en el comportamiento.
4. Email Gateway Asegúrese de que las soluciones de Email Gateway tengan todas las actualizaciones relevantes para detectar posibles correos electrónicos que puedan traer el troyano al medio ambiente.Eduque a todos los usuarios de correo electrónico para que revisen la dirección de correo electrónico receptora cuidadosamente y no abran ningún archivo ejecutable y secuencias de comandos dentro de archivos aparentemente confiables. el servicio de correo electrónico no está alojado en puertas de enlace públicas conocidas como Gmail u Office365, asegúrese de que los correos electrónicos se escaneen con una solución actualizada de escaneo de correo electrónico con motores de escaneo conocidos. (soluciones AV basadas en punto final o alojamiento de un servidor de descarga)
5. Proxy Asegúrese de que la solución Proxy tenga una base de datos actualizada. Bloquee los IOC para la dirección IP y los nombres de dominio en el Proxy. Bloquee el acceso al servicio de correo electrónico público desde donde es más probable que los malwares se propaguen a través del proxy. Verifique los registros de IOC en Proxy de la semana pasada y actúe sobre las fuentes de infección
6. IPS Asegúrese de que las firmas IPS estén actualizadas. Verifique si la firma que puede detectar este intento de vulnerabilidad / explotación está habilitada y está en modo de bloqueo. Obtenga los detalles con respecto al nombre de la Firma y verifique si esta Firma se ha detectado en los registros durante la última semana.
7. SIEM Verifique los registros para verificar si alguno de los IOC se ha detectado en los registros de 1 semana.

Mantener Windows actualizado mediante la instalación del parche crítico de marzo que defiende contra la vulnerabilidad EternalBlue detendrá una importante vía de infección y también protegerá contra futuros ataques con diferentes cargas útiles.

Para este brote de malware en particular, se ha descubierto otra línea de defensa: “Petya” busca un archivo de solo lectura, C: \ Windows \ perfc.dat, y si lo encuentra, no ejecutará el lado de cifrado del software. Pero esta “vacuna” en realidad no previene la infección, y el malware seguirá utilizando su punto de apoyo en su PC para tratar de propagarse a otros en la misma red.

Para obtener más información sobre Ransomware, Ransomware Evolution, etc. Archivos de infografías | Opsfolio es una referencia perfecta, que me gustaría sugerirle.

Sí, hay una defensa. Petya / Notpetya es un ransomware que bloquea las secciones MFT y MBR del disco duro y evita que las computadoras se inicien. La víctima no puede recuperar el sistema a menos que opte por pagar un rescate.

Según BleepingComputer, el ransomware se puede detener creando un archivo perfc en la carpeta de Windows en C: unidad.

He hecho un video sobre cómo hacerlo. Míralo aquí.

¡Ciertamente si! Puede usar REVE Antivirus para escanear su sistema en busca de petya ransomware y todos los demás tipos de malware. REVE Antivirus detecta el ransomware Petya como Trojan.Ransom.GoldenEye.B y lo elimina, como se ve en la siguiente captura de pantalla:

Muchas marcas de antivirus han afirmado haber actualizado su software para que pueda detectar y atacar fácilmente esos archivos maliciosos. Además, es importante preguntar si está hablando en nombre de una organización o como un usuario individual. Como usuario individual, es posible que no sea un punto de interés como las empresas y las instalaciones gubernamentales, sin embargo, la protección que puede obtener está más agrietada. Dicho esto, hemos visto a muchas organizaciones perjudicadas por Petya, por lo que la pregunta es: ¿dónde no están preparadas? Puede consultar más sobre Petya y lo que es importante saber en el blog de Cyberbit.

Consejos para proteger su sistema de Petya Ransomware:

• Descargar parches
• Copia de seguridad de tu computadora
• Instalar programas de protección
• No hagas clic en nada sospechoso
• Protégete cuando uses Wi-Fi público

Me gustaría sugerir a la Sociedad de Profesionales de Cumplimiento y Gestión de Riesgos Cibernéticos | Opsfolio, es una de las mejores comunidades de ciberseguridad para obtener un amplio conocimiento sobre ciberseguridad y sus métodos de rectificación. Unirse a dichas comunidades y grupos nos ayuda a obtener más información sobre la gestión de riesgos de terceros.