SophosLabs anuncia que las nuevas variantes del ransomware Petya están detrás del enorme brote en línea que se extendió por Europa, Rusia, Ucrania y otros lugares.
Lo que hace diferente la nueva amenaza es que incluye el exploit de EternalBlue, fundamental en la propagación del malware WannaCry, como una forma de propagarse dentro de una red de destino: el exploit ataca el servicio Windows Server Message Block (SMB), que se utiliza para compartir archivos e impresoras a través de redes locales.
Petya también intenta propagarse internamente al decodificar contraseñas de administrador e infectar a otras PCs en la red, usando herramientas de administración remota, y es capaz de infectar los recursos compartidos de red en otros equipos. Lo hace al ejecutar código de robo de credenciales para decodificar contraseñas de cuentas de usuario e implementar ransomware.
Por otro lado, para infectar equipos remotos viene incluido con una herramienta de administración remota legítima llamada PsExec, de la suite SysInternals de Microsoft.
En este contexto, la empresa informa que los clientes que utilicen Endpoint Protection están protegidos contra todas las variantes recientes de este ransomware: emitió protección el 27 de junio a las 13:50 UTC, y brindó varias actualizaciones frente a posibles variantes futuras.
Además, quienes utilicen Intercept X están protegidos proactivamente sin datos cifrados desde el momento en que apareció el ransomware.
Los clientes también pueden optar por restringir el uso de PsExec y otras herramientas administrativas de doble uso en su red. Endpoint Protection proporciona detección PUA para PsExec y otros programas de administración remota que no necesitan estar disponibles en cada PC y cada usuario.
En cuanto al resto de medidas defensivas, la compañía sugiere asegurarse de que los sistemas cuenten con los últimos parches, incluido el del boletín MS17-010 de Microsoft; considerar bloquear la herramienta PsExec; realizar copias de seguridad regularmente y guardar una copia de seguridad reciente fuera del sitio; evitar abrir archivos adjuntos de los correos electrónicos de los destinatarios que no se conocen; y abrir archivos .JS con el Bloc de notas para obtener protección contra los archivos adjuntos de JavaScript, así como mostrar las extensiones de archivo para protegerse frente a los nombres engañosos.
Otra posibilidad es descargar la versión de prueba gratuita de Intercept X o, para usuarios domésticos, registrarse para la versión beta de Home Premium gratuita.