Back to Question Center
0

Semalt Expert y - Cómo combatir Petya, NotPetya, GoldenEye y Petrwrp?

1 answers:

Forcepoint Security Labs lo ha denominado como un brote de Petya, pero otros proveedores están utilizando palabras alternativas y nombres adicionales para él. La buena noticia es que este ejemplo ha eliminado la prueba de pato y ahora los archivos se pueden cifrar en discos sin cambiar sus extensiones. También puede intentar encriptar el Registro de inicio maestro y verificar sus secuelas en los dispositivos de la computadora.

Pagando la demanda de rescate de Petya

Igor Gamanenko, el Gerente de Éxito del Cliente de Semalt , le sugiere no pagar el rescate a toda costa.

Es mejor desactivar su ID de correo electrónico en lugar de pagar un rescate al hacker o atacante. Sus mecanismos de pago suelen ser frágiles y no legítimos. Si va a pagar el rescate a través de una billetera BitCoin, el atacante puede robar mucho más dinero de su cuenta sin avisarle.

Actualmente, se ha vuelto muy difícil obtener archivos no cifrados, independientemente de que las herramientas de descifrado estén disponibles en los próximos meses. Infección Vector y declaración de protección Microsoft afirma que el vendedor de infección inicial tiene varios códigos maliciosos y actualizaciones de software no legítimas. En tales circunstancias, ese proveedor puede no ser capaz de detectar el problema de una mejor manera.

La iteración actual de Petya apunta a evitar los vectores de comunicación que han sido salvados por la seguridad del correo electrónico y las puertas de enlace de seguridad web. Se analizaron muchas muestras con diferentes credenciales para descubrir la solución del problema..

La combinación de comandos WMIC y PSEXEC es mucho mejor que el exploit SMBv1. A partir de ahora, no está claro si una organización que confía en redes de terceros entenderá las reglas y regulaciones de otras organizaciones o no.

Por lo tanto, podemos decir que Petya no trae sorpresas para los investigadores de Forcepoint Security Labs. A partir de junio de 2017, Forcepoint NGFW puede detectar y bloquear los aprovechamientos SMB explotados por los atacantes y los piratas informáticos.

Deja vu: capacidades de propagación de Petya Ransomware y SMB

El brote de Petya se registró en la cuarta semana de junio de 2017. Ha tenido un gran impacto en varias empresas internacionales, y los sitios web de noticias afirman que los efectos son duraderos. Forcepoint Security Labs ha analizado y revisado diferentes muestras asociadas con los brotes. Parece que los informes de Forcepoint Security Labs no están completamente preparados, y la compañía requiere tiempo adicional antes de que pueda llegar a algunas conclusiones. Por lo tanto, habrá un retraso significativo entre el procedimiento de cifrado y la ejecución del malware.

Dado que el virus y el malware reinician las máquinas, pueden pasar varios días hasta que se revelen los resultados finales.

Conclusión y recomendaciones

La conclusión y la evaluación de una implicación de gran alcance de los brotes son difíciles de extraer en esta etapa. Sin embargo, parece que es el último intento de desplegar piezas de ransomware autopropagables. A partir de ahora, Forcepoint Security Labs tiene como objetivo continuar su investigación sobre las posibles amenazas. La compañía pronto podrá presentar sus resultados finales, pero requiere una cantidad de tiempo significativa. El uso de exploits SMBvi se revelará una vez que los Security Labs de Forcepoint presenten los resultados. Debe asegurarse de que las actualizaciones de seguridad estén instaladas en sus sistemas informáticos. Según las políticas de Microsoft, los clientes deben deshabilitar SMBv1 en todos los sistemas de Windows donde está afectando negativamente las funciones y el rendimiento del sistema.

November 23, 2017
Semalt Expert y ndash; Cómo combatir Petya, NotPetya, GoldenEye y Petrwrp?
Reply