Una vez más el mundo entero ha sido atacado por un virus malicioso, un ransomware llamado Petya. En realidad el virus que está causando el ataque es una variante de Petya llamado NotPetya y también Petna. En este artículo incluyo información y procedimientos de protección frente al actual ataque. Todavía no se ha encontrado solución para los equipos infectados, pero sí puede prevenirse la amenaza. Mi fuente principal de información es este articulo de WordFence, aunque he consultado otras fuentes que también indicaré.
La seguridad es imprescindible en cualquier instalación informática. De éste y otros temas de interés hablaré en un webinar gratuito, ¡no faltes!
¿Qué sabemos?
Este nuevo ataque se está difundiendo rápidamente por todo el mundo utilizando métodos similares a los utilizados por WannaCrypt. La información que ofrezco está contrastada, pero debe considerarse provisional hasta que los expertos lleguen a un consenso global.
Al igual que su predecesor, este virus se difunde a través de las redes corporativas una vez que uno cualquiera de los sistemas de la red ha sido infectado. Esto significa que no es necesario que hagas nada para ser infectado si tu sistema está en red con algún otro ordenador infectado. Si puedes utilizar tu ordenador es que todavía no se ha activado el virus en tu sistema, por lo que deberías desconectarlo de cualquier red (WiFi incluida) hasta tener la certeza de que es segura.
Este ransomware explota dos vulnerabilidades de los sistemas operativos Windows: una de Microsoft Office al trabajar con documentos en formato RTF publicada en setiembre de 2016; la otra corresponde al protocolo SMBv1 para compartición de archivos de Microsoft y está descrita en el Microsoft Security Bulletin MS17-010 – Critical.
Una vez que el virus ha infectado un sistema muestra la siguiente pantalla exigiendo un rescate de 300 Bitcoins para liberarlo:
¿Qué hacer?
Si todavía no lo habías hecho tras el ataque de WannaCrypt, deberías actualizar inmediatamente tu sistema con el parche MS17-010 de Microsoft. Las recomendaciones que hice entonces siguen sendo válidas ahora. En el momento de editar este artículo todavía no hay ningún boletín específico para tratar este problema en el Microsoft Security Response Center, pero lo publicarán lo antes posible al igual que se hizo respecto al ataque de WannaCrypt.
Para saber si tu sistema tiene instalado el parche, Microsoft publicó Cómo comprobar que MS17-010 está instalado. Si necesitas conocer qué otros parches de Microsoft están instalados puedes usar los procedimientos descritos en este artículo.
Es imprescindible tener actualizado el antivirus. En esta página de VirusTotal puedes comprobar si tu antivirus detecta la amenaza (se utilizó para ello uno de los archivos involucrados en la infección). Atención: la marca verde significa lo contrario de lo que se esperaría: ese antivirus NO lo detecta.
El Cuerpo Nacional de Policía y la Guardia Civil han publicado una serie de consejos para prevenir la infección:
Vacuna
Expertos en seguridad informática (Amit Serper, Dave Kennedy y otros) han hallado un procedimiento que impide la infección del virus. Analizando su comportamiento encontraron que, si existe un determinado archivo en el sistema, la infección no prospera.
Esta “vacuna”, que no desinfección, está descrita en este artículo de Catalin Cimpanu en BleepingComputer. Se puede descargar el archivo con la vacuna en el siguiente enlace: https://download.bleepingcomputer.com/bats/nopetyavac.bat.
Y ahora, ¿qué?
Estos ataques continuarán. A medida que Microsoft y otros fabricantes de software publiquen los boletines con las nuevas brechas de seguridad descubiertas y las actualizaciones necesarias para evitarlas, los ciberdelincuentes las aprovecharán para atacar. La mejor política es tener tu sistema actualizado.
Comprueba que las horas activas y las Opciones de reinicio son las convenientes.
Planifica tus Copias de Seguridad en una unidad física externa con regularidad.
La seguridad es imprescindible en cualquier instalación informática. De éste y otros temas de interés hablaré mañana en un webinar gratuito, ¡te espero!
Deja un comentario