viernes, 30 de junio de 2017

Vacunate contra el nuevo ransomware NotPetya

Esta semana ha comenzado con la segunda oleada de ataques de tipo ransomware, continuando la iniciada con Wannacry, y tal y como se predijo semanas atrás. Por supuesto todas las webs y periódicos se han repetido con las mismas noticias. Pero lo que no dicen es que protegerse del nuevo virus es increíblemente fácil.


 Buscando soluciones tipo killswitch similares al Wannacry, no se encontró nada, de forma que se llegó a la conclusión de que el nuevo virus debería utilizar un archivo local a modo de freno para la rutina de cifrado. Y según confirmaciones de varios investigadores de seguridad, como TrustedSec, se ha localizado ese archivo. Lo que significa que si puedes crear previamente ese archivo, y configurarlo para solo lectura, no permitiendo su edición, bloquearíamos la ejecución del ransomware NotPetya. Vamos, que en vez de funcionar como el Killswitch de wannacry, esto funciona como una vacuna.

Vamos con los pasos para la "vacuna", que son muy simples. Básicamente, tenemos que generar un archivo en c.\Windows llamado "perfc", sin extensión. También sería buena idea generar el archivo perfc.dat y perfc.dll. Esto se puede hacer de varias formas.
  1. Utilizando ESTE script que lo haga por ti: este script, muy simple pero claro, desarrollado por Lawrence Abrams, genera los archivos antes mencionados de forma automática. Importante, ejecutarlo con permisos de administrador 8boton derecho sobre el archivo, y "ejecutar como administrador".
  2. Crear el archivo a mano: vamos a c:\Windows, duplicamos cualquier archivo, y lo renombramos como perfc
Duplicamos este archivo porque pesa poquito.

Renombramos a "perfc", sin extensión, y marcamos "solo lectura" en las propiedades del documento

Ni que decir tiene que para esto, previamente tienes que verificar que ves los tipos de extensión de archivos, porque si no, no haces nada.


Repetimos estos pasos para generar los archivos perfc.dat y perfc.dll. O directamente copias el archivo perfc, lo duplicas, y le añades a las copias las extensiones.

Como puedes ver, la tarea es realmente fácil.

También puedes recurrir a soluciones de terceros para evitar sustos en el futuro. Por ejemplo, una de las soluciones que a mi me gustan bastante es Malwarebytes, que ha realizado este anuncio:
Malwarebytes is protecting your organization against this specific ransomware variant. Our anti-ransomware technology uses a dedicated real-time detection and blocking engine that continuously monitors for ransomware behaviors, like those seen in Petya/NotPetya.
Lo de siempre: protégete, que si no, vienen los sustos.

1 comentario:

  1. NotPetya no es ransomware... no se puede recuperar lo perdido.

    ResponderEliminar

¡Gracias por colaborar en este blog con tus comentarios! :)