Otra oleada de ciberataques golpea a grandes empresas de todo el mundo

Ivan69

#20 hua que jodido, entonces aunque quieran pagar bye bye archivos

1 respuesta
AikonCWD

#31 Llevan casi 29 pagos:

Algo más de 6500€

1 respuesta
Ivan69

#32 si, pero ahora como lee el hacker los supuestos emails con la clave que tienen que prooveer para la desencriptacion? tendrian que haber realizado esos pagos añadiendo esos datos en la transaccion

2 respuestas
Kalgator

#33 Como si no lo desbloquea, estos hackers lo que quieren es la pasta, se las sopla la gente xD

1 respuesta
AikonCWD

#33 Exacto, pero la gente eso no lo sabe, pagan, envian el mail y no recibirán respuesta alguna xD. Por eso dije nada más empezar, que el ramson es muuuuy cutre. Lo chulo que le ha salido es meter psexec para auto-propagarse, pero para nada es un ramson clomplejo o currado.

Es más, si consigues no reiniciar el PC tras la infección, puedes librarte del ramson ya que se encripta el MBR al reiniciar. Si apagas el PC, quitas el disco duro, lo conectas como secundario a otro PC, podráss lavar los datos sin perder información.

#34 Normalmente contestan y devuelven los ficheros. Para ello es un negocio, si un ramsom infecta a 1000 usuario y el primero que paga reporta que no le han desencriptado.... el 999 restante no pagarán y se le joderá el negocio.

1 respuesta
T-1000

#35 qué fácil, no? Lol

1 respuesta
AikonCWD

#36 Sí, es un ramsom "cutre" a nivel de encriptación, pero tiene un sistema de spread (auto-propagación) bastante novedoso, de ahí su éxito. Si el ramsom tiene privilegios de admin sobre el PC:

  • Modifica el MBR del disco duro, así al reiniciarse el PC arrancará una zona del disco con la copia del virus, infectará todo el disco. Eso ocurre al iniciar el PC tras tener el MBR modificado, asi apagas y no enciendes puedes salvar tus datos.
  • Si el usuario no es admin entonces recorrerá todos los ficheros uno a uno y los encriptará, aquí, por el momento no hay solución. Pues el ramson utiliza 2 pares de llaves para encriptar.
Konishi

Equipos de monitorización de Chernobyl afectados :psyduck:

raul_ct

#12 Puede usar un blanqueador de bitcoins :D

Seguro que por la deepweb hay mas de uno, y por la normal mas todavia

AikonCWD

Al parecer han encontrado otro kill-switch para detener la infección (no la propagación). Simplemente crear un fichero sin extensión con nombre C:\Windows\perfc

2 2 respuestas
RusTu

Según se informa, Petya todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo. Por supuesto, detrás del Currículum se encuentra un troyano que ciega a los programas antivirus instalados antes de descargar (y ejecutar) el ransomware Petya.

Botinjen

se actualiza el avast, nueva funcion, ransomware shield xDD.

vinilester

#40 En el buen y mejor sentido de la palabra: que asco das, no? xDDDDD

1 respuesta
AikonCWD

#43 Ese kill-switch no lo he sacado yo eh?, no he entendido tu frase xD

1 respuesta
vinilester

#44 Te he quoteado ahi como podia quoterte cualquier otro post ;)
Cuando alguien es bueno en algo..., que se sale, que controla tanto que cualquiera a su lado no tiene nada que hacer, pues de ahi el "das todo el asco" :P

2 respuestas
AikonCWD

#45 A vale, perdón por el retraso, me he levantado hace una hora y estoy espeso todavía xD

RusTu

#45 tienes una forma muy rara de alabar a alguien vinil xDD.

S

Las empresas tienen que estar alertas de esto.

shortyStyle

#40 Ese kill switch bloquea la expansión mediante wmi/psexec pero no la de la ethernal blue, por lo tanto lo bueno sería tirar de ese kill switch + deshabilitar smb1 o parchear ms17-010.

Por cierto según he leído el archivo del kill switch debe estar en RO.

Esto es lo que estoy desplegando en mi empresa por si las moscas

@echo off
del %WINDIR%\perfc.* /f
echo > %WINDIR%\perfc
echo > %WINDIR%\perfc.dat
echo > %WINDIR%\perfc.dll
attrib +R %WINDIR%\perfc.*
1 respuesta
AikonCWD

#49 Sí, otra opción sería deshabilitar el recurso administrativo admin$, o directamente el WMI, ya que es posible que aparezca alguna variante sin la comprobación (killswitch) del fichero perfc. Ayer estuve como 2 horas destripando el virus y luego me di cuenta que era una versión antigua del ramsom xD, veré si puedo pillar una copia actual del virus, si alguien encuentra link que avise por aquí.

1 respuesta
shortyStyle

#50

https://yadi.sk/d/QT0l_AYg3KXCqc
https://yadi.sk/d/S0-ZhPY53KWc84
https://yadi.sk/d/Zpkm88sp3KWc8v
https://yadi.sk/d/WemMDKVy3KXPcy
Archive password: virus

No hace falta decir que esto no lo ejecutéis si no tenéis un equipo laboratorio completamente aislado.

2 respuestas
DiAbLo0o

#51 hombre gracias, voy a ejecutarlo a ver qué pasa xD

skela

El mcfee tiene parche desde el 26

AikonCWD

#51 Gracias, pero porque hay 4 versiones? Me molaría ir a tiro fijo y analizar la muestra más reciente/actualizada

1 respuesta
shortyStyle

#54 Ni idea, entiendo que deben ser mismas versiones pero subidas por gente distinta.

Las he sacado de aquí

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

1
AikonCWD

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Un muy buen resumen explicando el funcionamiento del bicho (inglés).

1
androide

Donde trabajo siguen sin "solucionar" la incidencia...

1 respuesta
lafundo

Yo si fuese los ciberdelincuentes haria que saliese este mensaje cuando les encripto el pc:

Pero ojo,haciendo que si de verdad insertas el cd de W98 se desbloquease el PC. Y asi por una vez en la vida meter el cd de W98 valiese para algo.

1 1 respuesta
AikonCWD

#58 xD, estarías programando un killswitch, la gente en reddit lo detectaría y podrían detener tu infección de forma masiva, como ya ocurrió con wannacry y ahora con petya. Lo mejor es incluir ninguna comprobación/killswitch.

#57 Pero que incidencia tienen? Se os ha llegado a encriptar algún PC/Server? Si es así no hay nada que solucionar: format, re-install y si tenéis backup entonces meter un restore.

androide

Están formateando los sistemas. Somos TNT EXPRESS... imagínate la cantidad de terminales que tenemos en un depot pues multiplícalo por todas las ciudades y a todo el mundo. Como somos multinacional, hay una burrada de ordenadores.

1 respuesta