Alerta | Ransomware Petya

Durante las últimas horas se han registrado ataques globales a través de PetrWrap, una familia de malware que explota el ransomware original de Petya encapsulado.

Hay alerta por posibles nuevos ataques.

RECOMENDACIÓN INMEDIATA: Esta variante se está propagando a través de vulnerabilidades de Microsoft detectadas en marzo y abril de 2017. Desde NextVision aconsejamos aplicar los parches correspondientes a MS17-010 y las siguientes vulnerabilidades: CVE-2017-0199 y CVE-2017-0147 lo antes posible.

Nueva Firma Symantec
Symantec ya tiene disponible una firma de listas de virus que incluye la detección del ransomware Petya también conocido como Trojan.Cryptolocker.AJ [Symantec]

– Descripción de la amenaza:
https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99

– Para bajar el ultimo Rapid Release rev. 009 acceder al siguiente link y bajar la versión según el SEPM que corresponda:
https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=rr

– Instrucciones para aplicar el Rapid Release en forma manual (.JDB) en un SEPM
https://support.symantec.com/es_ES/article.TECH102607.html

Adicionalmente se sugiere ajustar las políticas de prevención según su respectiva tecnología, basándose en la siguiente información:

Type Ransomware – Petya Ransomware Fast Spreading Attack:

File Names
dllhost.dat
petwrap.exe
Order-20062017.doc
myguy.xls
BCA9D6.exe

Hashes
SHA256
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
MD5
415FE69BF32634CA98FA07633F4118E1
71b6a493388e7d0b40c83ce903bc6b04
SHA1
34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
a809a63bc5e31670ff117d838522dec433f74bee
bec678164cedea578a7aff4589018fa41551c27f
d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
aba7aa41057c8a6b184ba5776c20f7e8fc97c657
0ff07caedad54c9b65e5873ac2d81b3126754aac
51eafbb626103765d3aedfd098b94d0e77de1196
078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
7ca37b86f4acc702f108449c391dd2485b5ca18c
2bc182f04b935c7e358ed9c9e6df09ae6af47168
1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
82920a2ad0138a2a8efc744ae5849c6dde6b435d

Malicious IP’s
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108

Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de malware. Pueden ver nuestro documento con buenas prácticas para combatir un ataque Ransomware.