<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_quote">---------- Mensaje reenviado ----------<br>De: <b class="gmail_sendername">Hernández Sanjuan Juan Carlos</b> <span dir="ltr"><<a href="mailto:jchernan@unam.mx">jchernan@unam.mx</a>></span><br>Fecha: 27 de junio de 2017, 14:13<br>Asunto: [Academia] RV: [Admin-UNAM] Ransomware Petya<br>Para: "<a href="mailto:academia@tlali.iztacala.unam.mx">academia@tlali.iztacala.unam.mx</a>" <<a href="mailto:academia@tlali.iztacala.unam.mx">academia@tlali.iztacala.unam.mx</a>>, "<a href="mailto:academicos@tlali.iztacala.unam.mx">academicos@tlali.iztacala.unam.mx</a>" <<a href="mailto:academicos@tlali.iztacala.unam.mx">academicos@tlali.iztacala.unam.mx</a>><br><br><br><br>
Buen día<br>
<br>
El día de hoy llegó un aviso del UNAM-CERT, advirtiendo de una nueva amenaza cibernética, lo reproducimos a continuación para su conocimiento.<br>
Les recomendamos:<br>
No abrir archivos adjuntos de los que dude<br>
Actualizar su equipo<br>
Realizar respaldos de información<br>
<br>
Saludos<br>
<br>
Juan Carlos Hernández Sanjuan<br>
UNAM, FES Iztacala<br>
Unidad de Sistemas, Telecomunicaciones y Cómputo<br>
Administración de Servidores y Sistemas<br>
Tel. 5623 1201<br>
______________________________<wbr>__________<br>
De: <a href="mailto:admin-unam-bounces@listas.seguridad.unam.mx">admin-unam-bounces@listas.<wbr>seguridad.unam.mx</a> [<a href="mailto:admin-unam-bounces@listas.seguridad.unam.mx">admin-unam-bounces@listas.<wbr>seguridad.unam.mx</a>] en nombre de Demian Garcia [<a href="mailto:demian.garcia@cert.unam.mx">demian.garcia@cert.unam.mx</a>]<br>
Enviado: martes, 27 de junio de 2017 13:17<br>
Para: <a href="mailto:admin-unam@listas.seguridad.unam.mx">admin-unam@listas.seguridad.<wbr>unam.mx</a><br>
Asunto: [Admin-UNAM] Ransomware Petya<br>
<br>
Estimados responsables de TI en RedUNAM,<br>
<br>
El día de hoy por la mañana se identificó un aumento en el número de infecciones por el ransomware Petya en varios países europeos, siendo Ucrania de los más afectados.<br>
<br>
Se ha identificado que este malware llega por correo electrónico en un documento de Office malicioso. El análisis hasta el momento de esta amenaza indica que cifra el archivo master file table (MFT) haciendo ilegible el sistema de archivos e inhabilitando el sistema operativo al sobrescribir la master boot record (MBR) lo que impide al usuario utilizar el equipo.<br>
<br>
Una vez que los archivos están cifrados se muestra la siguiente pantalla:<br>
<br>
[Petya Ransom_0.jpg]<br>
<br>
Además de cifrar los archivos, este ransomware se propaga por la red de la misma forma que wannacry, utilizando el exploit Eternalblue para SMBv1. Sin embargo, es probable que también se propague haciendo uso de WMIC y PSEXEC por lo que un equipo con los parches de seguridad podría ser infectado.<br>
<br>
Seguimos pendientes del análisis de este malware y realizando algunas pruebas para identificar con total certeza la forma de propagación por la red. Mientras tanto solicitamos su apoyo para estar atentos a lo que pasa en sus redes.<br>
<br>
Les recomendamos:<br>
<br>
- Actualizar a la brevedad los equipo aún vulnerables.<br>
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.<br>
- Desconectar de la red los equipos infectados.<br>
- Realizar respaldo de la información.<br>
- No realizar los pagos exigidos por el atacante.<br>
<br>
<br>
Ligas de interes:<br>
<br>
<a href="https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know" rel="noreferrer" target="_blank">https://www.symantec.com/<wbr>connect/blogs/petya-<wbr>ransomware-outbreak-here-s-<wbr>what-you-need-know</a><br>
<br>
<a href="https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/" rel="noreferrer" target="_blank">https://www.bleepingcomputer.<wbr>com/news/security/wannacry-d-<wbr>j-vu-petya-ransomware-<wbr>outbreak-wreaking-havoc-<wbr>across-the-globe/</a><br>
<br>
<a href="https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759" rel="noreferrer" target="_blank">https://gist.github.com/<wbr>vulnersCom/<wbr>65fe44d27d29d7a5de4c176baba457<wbr>59</a><br>
<br>
Seguimos en comunicación.<br>
<br>
<br>
--<br>
Ing. Demian García<br>
<br>
Departamento de Respuesta a Incidentes<br>
Computer Emergency Response Team (UNAM-CERT)<br>
DGTIC, UNAM<br>
Circuito Exterior, C. U. Tel.: 56-22-81-69<br>
Del. Coyoacán <a href="http://www.seguridad.unam.mx" rel="noreferrer" target="_blank">http://www.seguridad.unam.mx</a><br>
04510 México Cd.MX. <a href="http://www.unam-cert.unam.mx" rel="noreferrer" target="_blank">http://www.unam-cert.unam.mx</a><br>
<br>
______________________________<wbr>_________________<br>
Academia mailing list<br>
<a href="mailto:Academia@tlali.iztacala.unam.mx">Academia@tlali.iztacala.unam.<wbr>mx</a><br>
<a href="http://tlali.iztacala.unam.mx/cgi-bin/mailman/listinfo/academia" rel="noreferrer" target="_blank">http://tlali.iztacala.unam.mx/<wbr>cgi-bin/mailman/listinfo/<wbr>academia</a><br>
Politicas de uso: <a href="http://tlali.iztacala.unam.mx/politicas/" rel="noreferrer" target="_blank">http://tlali.iztacala.unam.mx/<wbr>politicas/</a><br>
</div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Dra. Alba Luz Robles Mendoza<div>Licenciada en Psicología<br><div>Doctora de Ciencias Penales y Política Criminal</div></div><div>Teléfono: 5526539068</div></div></div>
</div>