miércoles, 28 de junio de 2017

Qué hacer para evitar el contagio de PetrWrap (NotPetya / Petya 2017)

Antes de ver qué opciones y soluciones existen para evitar la infección de este software malicioso que ha pillado -de nuevo- al mundo por sorpresa veamos un repaso a modo de aclaraciones e información general:
  • PetrWrap -también conocido como NotPetya, Nyetya, ExPetr y Petya (sic)- es un malware del tipo gusano informático y apariencia de ransomware surgido a raíz de otro existente llamado Petya, al cual se ha sumado el aprovechamiento de varias vulnerabilidades conocidas en sistemas operativos Microsoft Windows:
    • La misma que WannaCry (EternalBlue), es decir el protocolo de red SMBv1.
    • Una vulnerabilidad de Microsoft Office y Wordpad (1) (2) ya corregida y relacionada con la ejecución de código remoto.
    • Los recursos compartidos administrativos. Se encuentran habilitados de forma predeterminada y suponen un riesgo al proporcionar acceso a los ficheros de la máquina en la que se encuentran disponibles.
    • La tecnología de gestión "Windows Management Instrumentation" (WMI), que no es una vulnerabilidad en sí misma pero puede ser explotada para acelerar el proceso de infección.
  • PetrWrap además integra una variante de la herramienta de ataque Mimikatz/LSADump -empleada para conseguir las claves de acceso al sistema del usuario actual y otros efectos al fin- con el objeto de conseguir credenciales para desplegarse por la red local.
  • PetrWrap es un malware muy virulento y acabará por extenderse más que WannaCry, aunque posiblemente no tanto fuera de entornos corporativos. Pese a que meses atrás ya se hizo pública una de sus formas de propagación fuera del ámbito informático, la manera en que combina las otras lo hace mucho más peligroso.
  • PetrWrap comenzó su ciclo de vida infectando ordenadores en Ucrania. Se barajan dos vectores originarios de infección mediante el acceso no autorizado y la manipulación de servidores: uno, a través del sistema de autoactualizado del software de contabilidad MeDoc, utilizado a lo largo y ancho del país en todos los sectores. El otro, empleando la web del ayuntamiento de la ciudad de Bajmut, situada al este de Ucrania.
  • PetrWrap es sólo ligeramente menos destructivo que WannaCry. Cifra y elimina algunos tipos de ficheros (principalmente documentos y archivos, no imágenes ni ejecutables; la lista está al final de esta entrada) de carpetas con hasta 15 niveles de anidación, excluyendo c:\Windows. Posteriormente, tras reiniciar el equipo infectado cifra el índice de ficheros del disco duro mientras muestra una falsa comprobación de disco duro (imitando el aspecto del chkdsk integrado en DOS/Windows) para que el usuario no interrumpa el proceso. Es decir, cifra dos veces, dos aspectos distintos. Abarca más y es más rápido en su operación.
  • PetrWrap no es WannaCry 2.0. Este nuevo malware es mucho más versátil y capaz que WannaCry a la hora de encontrar cómo distribuirse y sólo tienen en común una de las vulnerabilidades aprovechadas. 
  • Aunque PetrWrap fue aparentemente diseñado como ransomware, durante sus primeras horas de vida se descubrió que la dirección de correo asociada había sido dada de baja. Posteo, la empresa alemana que gestiona el dominio de la cuenta de correo electrónico que empleaba el malware hizo público que la cuenta fue rápidamente deshabilitada.
  • En todos los ámbitos se está cuestionando por qué los desarrolladores de PetWrap emplearon un método de comunicación para cobrar el rescate tan sencillo de interrumpir. Las estimaciones por ahora son que el objetivo nunca fue generar un beneficio económico sino un perjuicio sistemático, más o menos focalizado, aún por determinar contra quién — aunque ya se sospecha que este ataque suma uno más en una serie (XData, PSCrypt, PetrWrap y una imitación de WannaCry que bien se podría llamar NotWannaCry) dirigida contra el país del este.
  • Adicionalmente, y apoyando estas hipótesis, los análisis realizados desde los laboratorios de las empresas de seguridad Kaspersky y Comae Technologies han señalado que, de cualquier modo, no había posibilidad de recuperar los datos -incluso aún pagando el rescate en los primeros momentos- puesto que el identificador generado para cada víctima no es un identificador calculado sino una secuencia de caracteres generados al azar. Esto convierte al malware en un inutilizador masivo de equipos, sin ser exactamente lo que se viene llamando un wiper -un eliminador de datos-, pero con estructura de ransomware como distracción durante los momentos mediáticos.
  • Dado lo dispares que son los detalles precisos en cuanto a la información disponible -incluso la proporcionada por fabricantes de soluciones de seguridad y entornos técnicos especializados- es posible que se hayan esparcido diferentes variantes de este malware con diferencias menores entre sí.
  • Aún es pronto para saber si se podrá desarrollar un software de prevención que impida todas las vías de contagio.




Por ahora las soluciones preventivas pasan por tapar una a una las posibilidades del malware para infiltrarse:
  1. Siga todas las recomendaciones indicadas aquí. De esta manera se ataja el riesgo que aprovechaba WannaCry.
  2. Es esencial utilizar software actualizado; principalmente el sistema operativo.
  3. Si se emplea la suite Microsoft Office -todo el rango de versiones desde 2007- o Windows Vista / Server 2008, Windows 7 / Server 2012, el malware hace uso de la vulnerabilidad relacionada con la ejecución de código remoto mediante macros identificada como CVE-2017-0199 — en Word y Wordpad, respectivamente. Es decir, actualice. Esta vulnerabilidad no requiere que el usuario permita el uso de macros o interaccione con documentos maliciosos tras abrirlos. Deshabilitar el uso de macros externas no es efectivo y la única protección es actualizar.
  4. Se recomienda suma cautela a la hora de abrir correos electrónicos de desconocidos o de conocidos pero cuyo título es de aspecto sospechoso (diferente idioma, trato en la forma de comunicación, etc.). Esto incluye los ficheros adjuntos.
  5. No emplee permisos de administrador -tanto de su equipo como de otros- en su cuenta de usuario si no es necesario y active el Control de Cuentas de Usuario (UAC).
  6. Si por rendimiento o licencias no puede emplear un antivirus en cada uno de sus equipos asegúrese de tener Windows Defender -integrado en Windows desde la versión 8- funcionando y actualizado. Si tampoco eso fuera posible, emplee diariamente algún programa de comprobación de malware en memoria y las carpetas de sistema.
    Adicionalmente, intente tener una herramienta o dispositivo de análisis de tráfico en su red.
  7. Para deshabilitar los recursos compartidos administrativos del sistema es necesario manipular el registro de Windows. Haga una copia de seguridad primero. Diríjase a la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters y compruebe que el valor AutoShareServer está asignado a 0. Si ha realizado algún cambio reinicie para que el ajuste quede aplicado.
  8. Es aconsejable suficiente consideración antes de deshabilitar la consola del "Intrumental de Administración de Windows" (o WMIC) puesto que el servicio del que depende (Winmgmt) es necesario para el funcionamiento del Cortafuegos de Windows y ya se sabe el perjuicio que conlleva hacerlo. Deshabilite el servicio sólo si es consciente de los riesgos.
  9. Aún es pronto para dar completa validez a esta información pero parece que existe un killswitch de ámbito local, es decir, un autodesactivador interno preprogramado en el malware (posiblemente para evitar múltiples funcionamientos simultáneos) que sólo afecta al equipo actualmente infectado o en proceso de estarlo.
    Primero compruebe que ninguno de estos ficheros existe en su instalación de Windows: C:\Windows\perfc (sin extensión), C:\Windows\perfc.dll y C:\Windows\perfc.dat. (Nota: La ruta no es %Windir% sino exactamente "C:\Windows" debido a que en el malware aparece textualmente). Si alguno de ellos existiera es que su equipo se encuentra infectado.
    En caso de no encontrarse, el killswitch consiste en recrearlos con cualquier contenido aleatorio (puede copiar un fichero .ini pequeño a ese lugar y renombrarlo tal como se indica). Después cambie los atributos -en las propiedades de cada uno de los tres ficheros- para activar "Solo lectura" y aplique el cambio.
  10. Si se encuentra en un entorno cuya peligrosidad de infección es alta se recomienda el uso de utilidades como MBRFilter (más información aquí).
  11. Haga copias de seguridad de sus datos importantes.


Por último, si sospecha que su sistema operativo ya ha sido infectado:
  • Apague inmediatamente y no permita reiniciar el equipo.
  • Puede seguir este vídeo como guía visual para conocer el proceso de infección.
  • Este malware sólo culmina sus procedimientos al reiniciar el sistema operativo, en cuyo caso instalará el cifrado del índice del disco duro (la tabla maestra de ficheros) para dejarlo inaccesible y solicitar el pago.
  • Para comprobar si su instalación de Windows ha sido comprometida busque si tiene alguno o varios de los siguientes ficheros: C:\Windows\perfc.dat, %ProgramData%\dllhost.datC:\Windows\dllhost.dat. En caso afirmativo, apague.
  • PetrWrap posee un ciclo de espera entre la infección y la aplicación final del malware suficientemente largo para poder propagarse, de modo que puede transcurrir desde diez minutos hasta dos horas para que se reinicie por cuenta propia y comience el cifrado.
  • Desconecte el/los discos duros y realice una revisión y diagnóstico completo con otro sistema operativo -por su inmunidad, preferiblemente Linux- o equipo.
  • Extreme las precauciones para evitar infectar más sistemas o equipos.
  • Si apareció la ventana de cobro de rescate en su equipo dé los datos por perdidos si los medios de almacenamiento no pueden conservarse hasta la hipotética -y muy poco posible- aparición de una herramienta descifradora.
  • No intente pagar el rescate por este malware porque no podrá, como ya se ha indicado previamente.
    De cualquier modo, se recomienda no pagar rescates de malware. Pagar retroalimenta la existencia de este tipo de prácticas.

______
La lista de extensiones / tipos de ficheros que cifra e inutiliza este malware es: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls.


No hay comentarios:

Publicar un comentario