Semalt Expert - ¿Cómo combatir Petya, NotPetya, GoldenEye y Petrwrp?

Forcepoint Security Labs lo ha referido como un brote de Petia, pero otros proveedores están usando palabras alternativas y nombres adicionales para ello. La buena noticia es que esta muestra ha borrado la prueba de pato, y ahora los archivos se pueden cifrar en discos sin cambiar sus extensiones. También puede intentar cifrar el registro de arranque maestro y verificar sus efectos posteriores en los dispositivos de la computadora.

Pagar la demanda de rescate de Petya

Igor Gamanenko, el gerente de éxito del cliente de Semalt , le sugiere que no pague el rescate a cualquier costo.

Es mejor desactivar su ID de correo electrónico en lugar de pagar un rescate al hacker o al atacante. Sus mecanismos de pago suelen ser frágiles y no legítimos. Si va a pagar el rescate a través de una billetera BitCoin, el atacante puede robar mucho más dinero de su cuenta sin avisarle.

En estos días, se ha vuelto muy difícil obtener archivos sin cifrar, independientemente del hecho de que las herramientas de descifrado estarán disponibles en los próximos meses. Vector de infección y declaración de protección Microsoft afirma que el proveedor de infección inicial tiene varios códigos maliciosos y actualizaciones de software no legítimas. En tales circunstancias, ese proveedor puede no ser capaz de detectar el problema de una mejor manera.

La iteración actual de Petya tiene como objetivo evitar los vectores de comunicación que han sido guardados por las puertas de enlace de seguridad de correo electrónico y seguridad web. Se han analizado muchas muestras utilizando diferentes credenciales para encontrar la solución del problema.

La combinación de comandos WMIC y PSEXEC es mucho mejor que el exploit SMBv1. A partir de ahora, no está claro si una organización que confía en redes de terceros comprenderá las reglas y regulaciones de otras organizaciones o no.

Por lo tanto, podemos decir que Petya no trae sorpresas para los investigadores de Forcepoint Security Labs. A partir de junio de 2017, Forcepoint NGFW puede detectar y bloquear los apalancamientos de explotaciones de SMB por parte de los atacantes y piratas informáticos.

Deja vu: habilidades de propagación de Petya Ransomware y SMB

El brote de Petia se registró en la cuarta semana de junio de 2017. Ha tenido un gran impacto en varias empresas internacionales, con sitios web de noticias que afirman que los efectos son duraderos. Forcepoint Security Labs ha analizado y revisado diferentes muestras asociadas con los brotes. Parece que los informes de Forcepoint Security Labs no están completamente preparados, y la compañía requiere tiempo adicional antes de llegar a algunas conclusiones. Por lo tanto, habrá un retraso significativo entre el procedimiento de cifrado y la ejecución del malware.

Dado que el virus y el malware reinician las máquinas, pueden pasar varios días antes de que se revelen los resultados finales.

Conclusión y Recomendaciones

La conclusión y la evaluación de una implicación de gran alcance de los brotes son difíciles de establecer en esta etapa. Sin embargo, parece que es el intento final de implementar piezas de ransomware autopropagables. A partir de ahora, Forcepoint Security Labs tiene como objetivo continuar su investigación sobre las posibles amenazas. La compañía puede llegar pronto a sus resultados finales, pero requiere una cantidad de tiempo considerable. El uso de los exploits SMBvi se revelará una vez que Forcepoint Security Labs presente los resultados. Debe asegurarse de que las actualizaciones de seguridad estén instaladas en sus sistemas informáticos. Según las políticas de Microsoft, los clientes deben deshabilitar SMBv1 en todos los sistemas Windows donde afecte negativamente las funciones y el rendimiento del sistema.