{"id":13581,"date":"2017-06-27T19:58:10","date_gmt":"2017-06-27T19:58:10","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=13581"},"modified":"2017-09-21T17:06:32","modified_gmt":"2017-09-21T15:06:32","slug":"new-ransomware-epidemics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/","title":{"rendered":"Nuevo brote de ransomware New Petya \/ NotPetya \/ ExPetr"},"content":{"rendered":"<p><b>[Actualizado 28 Junio, 17:00]<\/b><\/p>\n<p>Ayer un nuevo brote de\u00a0<em>ransomware <\/em>sacudi\u00f3 el mundo, y aparentemente, tiene la misma magnitud del reciente\u00a0<a href=\"https:\/\/www.kaspersky.es\/blog\/wannacry-ransomware\/10503\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-13583 aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/06\/27183020\/wannamore-ransomware-featured1.jpg\" alt=\"\" width=\"1460\" height=\"960\"><\/p>\n<p>Pocas horas han sido suficientes para que varias grandes compa\u00f1\u00edas de diferentes pa\u00edses reportaran la infecci\u00f3n, y es probable que la magnitud de la epidemia se expanda a\u00fan m\u00e1s.<\/p>\n<p>A\u00fan no est\u00e1 claro qu\u00e9 es lo que debemos esperar de este nuevo <em>ransomware<\/em>. Algunos creen que puede ser una variaci\u00f3n de <a href=\"https:\/\/www.kaspersky.es\/blog\/petya-ransomware\/8044\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a> (sea Pteya.A, Petya.D, o <a href=\"https:\/\/securelist.com\/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks\/77762\/\" target=\"_blank\" rel=\"noopener\">PetrWrap<\/a>), o que podr\u00eda ser WannaCry (que no lo es). Los expertos de Kaspersky Lab han concluido que este nuevo malware es significativamente diferente de todas las versiones anteriores de Petya, y es por ello que lo encuadramos dentro de una familia de malware separada. Lo hemos denominado ExPetr (o NotPetya \u2013 de forma no oficial).<\/p>\n<p>Parece ser un ataque complejo que involucra diversos vectores de ataque. Lo que s\u00ed podemos confirmar es que un <em>exploit<\/em> modificado de EternalBlue est\u00e1 siendo utilizado para su propagaci\u00f3n, por lo menos dentro de redes corporativas. <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\" target=\"_blank\" rel=\"noopener\">M\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque. <\/a><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-13584 aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/06\/27183147\/wannamore-ransomware-screenshot.jpg\" alt=\"\" width=\"1280\" height=\"745\"><\/p>\n<p>De momento, debes saber que los productos de Kaspersky Lab detectan esta amenaza como:<\/p>\n<ul>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR:Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<li>UDS:DangerousObject.Multi.Generic (detectado por Kaspersky Security Network)<\/li>\n<li>PDM:Trojan.Win32.Generic (detectado por la funcionalidad System Watcher)<\/li>\n<li>PDM:Exploit.Win32.Generic (detectado por la funcionalidad System Watcher)<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h2>Recomendaciones para nuestros clientes corporativos<\/h2>\n<ol>\n<li>Aseg\u00farate de que Kaspersky Security Network y los componentes de System Watcher se encuentran activados.<\/li>\n<li>Actualiza ahora de forma manual las bases de datos del antivirus<\/li>\n<li>Instala todas las actualizaciones de seguridad para Windows. La que soluciona los <em>bugs <\/em>explotados\u00a0por EternalBlue es especialmente importante. <a href=\"https:\/\/www.kaspersky.es\/blog\/wannacry-windows-update\/10552\/\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed te explicamos c\u00f3mo hacerlo.<\/a><\/li>\n<li>Como una medida adicional de protecci\u00f3n puedes usar el <a href=\"https:\/\/help.kaspersky.com\/keswin\/10sp2\/es-ES\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">Control de Actividad de Aplicaciones<\/a>, que es un componente de Kaspersky Endpoint Security, para<a href=\"http:\/\/support.kaspersky.com\/sp\/10905#block1\" target=\"_blank\" rel=\"noopener\"> denegar el acceso<\/a> (y as\u00ed, la posibilidad de interacci\u00f3n o ejecuci\u00f3n) a todos los grupos de aplicaciones al archivo con el nombre <i>perfc.dat <\/i>y prevenir la ejecuci\u00f3n de la utilidad PSExec (que es una parte de Sysinternals Suite)<\/li>\n<li>Alternativamente, usa el <a href=\"https:\/\/help.kaspersky.com\/KESWin\/10SP2\/es-ES\/129102.htm\" target=\"_blank\" rel=\"noopener nofollow\">Control de Inicio de Aplicaciones<\/a>, que es un componente de Kaspersky Endpoint Security, para bloquear la ejecuci\u00f3n de la utilidad PSExec. Pero, por favor, utiliza el Control de Actividad de Aplicaciones para bloquear <i>perfc.dat<\/i>.<\/li>\n<li>Configura y activa el modo de modo de Denegaci\u00f3n por defecto en el Control de Inicio de Aplicaciones, para asegurar y reforzar una defensa proactiva contra \u00e9ste y otros ataques.<\/li>\n<li>Tambi\u00e9n puedes utilizar la funci\u00f3n de AppLocker para desactivar la ejecuci\u00f3n del mencionado archivo perfc.dat\u00a0y la utilidad PSExec.<\/li>\n<\/ol>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kart\">\n<h3>Consejos para usuarios dom\u00e9sticos<\/h3>\n<p>Parece que los usuarios particulares han sido menos afectados por esta amenaza, ya que los cibercriminales que est\u00e1n detr\u00e1s se han dirigido principalmente a grandes empresas. Sin embargo, una protecci\u00f3n efectiva nunca sobra. Esto es lo que puedes hacer:<\/p>\n<ol>\n<li>Haz una copia de seguridad de tus datos. Siempre es una buena idea hacerlo y m\u00e1s en tiempos turbulentos.<\/li>\n<li>Si est\u00e1s usando una de nuestras soluciones de seguridad, aseg\u00farate de que Kaspersky Security Network y System Watcher est\u00e1n activados.<\/li>\n<li>Actualiza manualmente la base de datos del antivirus. Hazlo ahora, no te llevar\u00e1 mucho tiempo.<\/li>\n<li>Instala todas las actualizaciones de seguridad de Windows. La que arregla la vulnerabilidad explotada por EternalBlue es especialmente importante. <a href=\"https:\/\/www.kaspersky.es\/blog\/wannacry-windows-update\/10552\/\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed tienes como hacerlo<\/a>.<\/li>\n<\/ol>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<h3>No pagues el rescate<\/h3>\n<p>De acuerdo con la <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/new8xw\/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid\" target=\"_blank\" rel=\"noopener nofollow\"><u>actualizaci\u00f3n de Motherboard<\/u><\/a>, el proveedor alem\u00e1n de correo electr\u00f3nico, Posteo, ha cerrado la direcci\u00f3n de correo electr\u00f3nico que se supon\u00eda que iba a ser utilizada por las v\u00edctimas para contactar a los extorsionadores, confirmar las transacciones de bitcoins y recibir las claves de descifrado. Lo que esto significa es que las v\u00edctimas que pretend\u00edan pagar a los criminales ya no podr\u00e1n recuperar sus archivos. En Kaspersky Lab, no abogamos por pagar el rescate, y en este caso parece ser in\u00fatil de todos modos.<\/p>\n<p><b>Actualizaci\u00f3n:<\/b> Mucho m\u00e1s que eso, el an\u00e1lisis de nuestros expertos indica que nunca hubo mucha esperanza para las v\u00edctimas de recuperar sus archivos.<\/p>\n<p>Los investigadores de Kaspersky Lab han analizado el alto nivel de c\u00f3digo de la rutina de cifrado y han determinado que, tras el cifrado del disco, los responsables de esta amenaza no podr\u00edan descifrar los discos de las v\u00edctimas.\u00a0 Para descifrarlo, el autor de esta amenaza necesita el ID de la instalaci\u00f3n. En versiones anteriores de ransomware supuestamente parecidos a Petya\/Mischa\/GoldenEye, el ID de la instalaci\u00f3n conten\u00eda la informaci\u00f3n necesaria para recuperar las claves.<\/p>\n<p>ExPetr (tambi\u00e9n conocido como NotPetya) no tiene ese ID de la instalaci\u00f3n, lo que significa que el autor de las amenazas no podr\u00eda extraer la informaci\u00f3n necesaria para el descifrado. En pocas palabras, las v\u00edctimas nunca podr\u00edan recuperar sus datos.<\/p>\n<p><strong>No pagues el rescate. No servir\u00e1.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El brote de un nuevo ransomware est\u00e1 ocurriendo en estos momentos. Esto es lo que sabemos de momento y lo que puedes hacer para protegerte de esta amenaza.<\/p>\n","protected":false},"author":40,"featured_media":13582,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[1881,2270,1884,2271,553,1702,401,586,2223],"class_list":{"0":"post-13581","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-bloqueadores","10":"tag-brote","11":"tag-cifradores","12":"tag-epidemia","13":"tag-noticias","14":"tag-petya","15":"tag-ransomware","16":"tag-troyanos","17":"tag-wannacry"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-ransomware-epidemics\/8698\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-ransomware-epidemics\/4712\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/new-ransomware-epidemics\/11710\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-ransomware-epidemics\/11249\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-ransomware-epidemics\/17855\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-ransomware-epidemics\/3319\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/new-ransomware-epidemics\/6963\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/new-ransomware-epidemics\/16631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-ransomware-epidemics\/17314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/bloqueadores\/","name":"bloqueadores"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13581","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=13581"}],"version-history":[{"count":17,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13581\/revisions"}],"predecessor-version":[{"id":14391,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/13581\/revisions\/14391"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/13582"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=13581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=13581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=13581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}