[Academia] RV: [Admin-UNAM] Ransomware Petya
Rose Eisenberg
rose.eisenberg en gmail.com
Mar Jun 27 15:09:30 CDT 2017
gracias por el aviso... buena tarde
El 27 de junio de 2017, 14:13, Hernández Sanjuan Juan Carlos<
jchernan en unam.mx> escribió:
>
> Buen día
>
> El día de hoy llegó un aviso del UNAM-CERT, advirtiendo de una nueva
> amenaza cibernética, lo reproducimos a continuación para su conocimiento.
> Les recomendamos:
> No abrir archivos adjuntos de los que dude
> Actualizar su equipo
> Realizar respaldos de información
>
> Saludos
>
> Juan Carlos Hernández Sanjuan
> UNAM, FES Iztacala
> Unidad de Sistemas, Telecomunicaciones y Cómputo
> Administración de Servidores y Sistemas
> Tel. 5623 1201
> ________________________________________
> De: admin-unam-bounces en listas.seguridad.unam.mx [
> admin-unam-bounces en listas.seguridad.unam.mx] en nombre de Demian Garcia [
> demian.garcia en cert.unam.mx]
> Enviado: martes, 27 de junio de 2017 13:17
> Para: admin-unam en listas.seguridad.unam.mx
> Asunto: [Admin-UNAM] Ransomware Petya
>
> Estimados responsables de TI en RedUNAM,
>
> El día de hoy por la mañana se identificó un aumento en el número de
> infecciones por el ransomware Petya en varios países europeos, siendo
> Ucrania de los más afectados.
>
> Se ha identificado que este malware llega por correo electrónico en un
> documento de Office malicioso. El análisis hasta el momento de esta amenaza
> indica que cifra el archivo master file table (MFT) haciendo ilegible el
> sistema de archivos e inhabilitando el sistema operativo al sobrescribir la
> master boot record (MBR) lo que impide al usuario utilizar el equipo.
>
> Una vez que los archivos están cifrados se muestra la siguiente pantalla:
>
> [Petya Ransom_0.jpg]
>
> Además de cifrar los archivos, este ransomware se propaga por la red de la
> misma forma que wannacry, utilizando el exploit Eternalblue para SMBv1. Sin
> embargo, es probable que también se propague haciendo uso de WMIC y PSEXEC
> por lo que un equipo con los parches de seguridad podría ser infectado.
>
> Seguimos pendientes del análisis de este malware y realizando algunas
> pruebas para identificar con total certeza la forma de propagación por la
> red. Mientras tanto solicitamos su apoyo para estar atentos a lo que pasa
> en sus redes.
>
> Les recomendamos:
>
> - Actualizar a la brevedad los equipo aún vulnerables.
> - Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445
> TCP en las redes.
> - Desconectar de la red los equipos infectados.
> - Realizar respaldo de la información.
> - No realizar los pagos exigidos por el atacante.
>
>
> Ligas de interes:
>
> https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-
> what-you-need-know
>
> https://www.bleepingcomputer.com/news/security/wannacry-d-
> j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/
>
> https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
>
> Seguimos en comunicación.
>
>
> --
> Ing. Demian García
>
> Departamento de Respuesta a Incidentes
> Computer Emergency Response Team (UNAM-CERT)
> DGTIC, UNAM
> Circuito Exterior, C. U. Tel.: 56-22-81-69
> Del. Coyoacán http://www.seguridad.unam.mx
> 04510 México Cd.MX. http://www.unam-cert.unam.mx
>
> _______________________________________________
> Academia mailing list
> Academia en tlali.iztacala.unam.mx
> http://tlali.iztacala.unam.mx/cgi-bin/mailman/listinfo/academia
> Politicas de uso: http://tlali.iztacala.unam.mx/politicas/
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://tlali.iztacala.unam.mx/pipermail/academia/attachments/20170627/d378e825/attachment.htm>
Más información sobre la lista de distribución Academia