[Academia] RV: [Admin-UNAM] Ransomware Petya

Hernández Sanjuan Juan Carlos jchernan en unam.mx
Mar Jun 27 14:13:24 CDT 2017 

Buen día

El día de hoy llegó un aviso del UNAM-CERT, advirtiendo de una nueva amenaza cibernética, lo reproducimos a continuación para su conocimiento.
Les recomendamos:
No abrir archivos adjuntos de los que dude
Actualizar su equipo
Realizar respaldos de información

Saludos

Juan Carlos Hernández Sanjuan
UNAM, FES Iztacala
Unidad de Sistemas, Telecomunicaciones y Cómputo
Administración de Servidores y Sistemas
Tel. 5623 1201
________________________________________
De: admin-unam-bounces en listas.seguridad.unam.mx [admin-unam-bounces en listas.seguridad.unam.mx] en nombre de Demian Garcia [demian.garcia en cert.unam.mx]
Enviado: martes, 27 de junio de 2017 13:17
Para: admin-unam en listas.seguridad.unam.mx
Asunto: [Admin-UNAM] Ransomware Petya

Estimados responsables de TI en RedUNAM,

El día de hoy por la mañana se identificó un aumento en el número de infecciones por el ransomware Petya en varios países europeos, siendo Ucrania de los más afectados.

Se ha identificado que este malware llega por correo electrónico en un documento de Office malicioso. El análisis hasta el momento de esta amenaza indica que cifra el archivo master file table (MFT) haciendo ilegible el sistema de archivos e inhabilitando el sistema operativo al sobrescribir la master boot record (MBR) lo que impide al usuario utilizar el equipo.

Una vez que los archivos están cifrados se muestra la siguiente pantalla:

[Petya                Ransom_0.jpg]

Además de cifrar los archivos, este ransomware se propaga por la red de la misma forma que wannacry, utilizando el exploit Eternalblue para SMBv1. Sin embargo, es probable que también se propague haciendo uso de WMIC y PSEXEC por lo que un equipo con los parches de seguridad podría ser infectado.

Seguimos pendientes del análisis de este malware y realizando algunas pruebas para identificar con total certeza la forma de propagación por la red. Mientras tanto solicitamos su apoyo para estar atentos a lo que pasa en sus redes.

Les recomendamos:

- Actualizar a la brevedad los equipo aún vulnerables.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.
- Desconectar de la red los equipos infectados.
- Realizar respaldo de la información.
- No realizar los pagos exigidos por el atacante.


Ligas de interes:

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Seguimos en comunicación.


--
Ing. Demian García

Departamento de Respuesta a Incidentes
Computer Emergency Response Team (UNAM-CERT)
DGTIC, UNAM
Circuito Exterior, C. U.    Tel.: 56-22-81-69
Del. Coyoacán               http://www.seguridad.unam.mx
04510 México Cd.MX.         http://www.unam-cert.unam.mx

Más información sobre la lista de distribución Academia