Lista negra (Blacklist) de direcciones IPs maliciosas actualizada.

En SysCloud hemos lanzado una lista negra (Blacklist) de direcciones IPs maliciosas, para que todas las empresas se pueda proteger contra la cibercriminales, hackers y redes botnet.

Para utilizar la lista hay que usar uno de los siguientes enlaces:

  • https://cdn.syscloud.es/bad_ips.txt.gz (Formato Gzip)
  • https://cdn.syscloud.es/bad_ips.txt (Formato TXT)
Lista negra hackers y ciberdelincuentes
Lista negra hackers y ciberdelincuentes

Esta lista se actualiza cada 24 Horas, con direcciones IP maliciosas, servidores comprometidos (Hackeados), nodos de salida tor, servidores VPN, servidores proxy actualmente la lista se alimenta de los siguientes proyectos:

 

 

 

  • Tor Project
  • Openbl
  • Spamhaus
  • Emerging Threats
  • Cins Score
  • Malware Domainlist
  • Malc0de
  • Blocklist.de
  • Zeustracker
  • Ransomware Tracker
  • Maxmind
  • Rulez.sk
  • Autoshun

 

Análisis y recomendaciones para evitar la infección de Petya Ransomware

Recomendaciones para evitar la infección de Petya Ransomware

Es detectado como Win32/Diskcoder.Petya.C, explota la vulnerabilidad de MS17-010 igual que WanaCry. Esta programado en C.

Como evitar la infección de petya.

Para evitar la infección por este Malware hay que crear el fichero.

C:\Windows\perfc
C:\Windows\perfc.dll

Reglas para el IDS Snort:

Reglas para detectas ms17-010 en snort.

Tal como muestra el código en C del ransomware Petya .

Analisis Ransomware Petya
Analisis Ransomware Petya

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Como se propaga el ransomware petya.

Exploits usados por petya para propagarse en redes LAN

  • EternalBlue
  • Vulnerabilidades para el software ukraniano М.Е. Doc.
  • Por último para entornos corporativos con SMB/CIFS/NetBios (Puerto TCP 445) utiliza PSExec , con la tecnica conocidad pash the hash mediante smb, solo infectaria equipos en red conectados a un PDC de Active directory o aquellos equipos con mismo usuario y contraseña + SSID.

Como llega petya a propagarse en redes WAN

El ransomware petya puede llegar mediante 2 formas.

  • Mediante un ataque de Phishing.
  • A través de un correo electrónico con un documento RTF mal formado que explota la vulnerabilidad  CVE-2017-0199 (Ejecución de código Remoto).
  • Si tienes el puerto 445 abierto, y no esta el parche MS17-010 instalado, también te puedes infectar, tal como sucedió en el CPD de OVH.

Como infecta petya nuestro equipo.

El malware crea una tarea programada con la siguiente instrucción, extraída del código fuente:  "C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\perfc.dat\\ y se lanza a la hora después de la infección.

Antes de reiniciarse limpia todos los registros del sistema mediante el comando:

evtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

 

 

Se intenta conectar con los siguientes hosts:

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247
  • 95.141.115.108

Llega desde siguientes correos:

Correos vinculados con el Rasomware petya
Correos vinculados con el Rasomware petya.

 

 

 

 

 

Extensiones infectadas por el ransomware petya.

  • .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak  .c .cfg
    .conf  .cpp  .cs  .ctl  .dbf  .disk  .djvu .doc  .docx .dwg
    .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora
    .ost .ova .ovf .pdf  .php .pmf .ppt .pptx  .pst .pvi .py
    .pyc .rar  .rtf .sln .sql .tar  .vbox .vbs .vcb .vdi .vfd
    .vmc  .vmdk .vmsd .vmx .vsdx  .vsv .work  .xls  .xlsx
    .xvd  .zip

Cartera Bitcoin de petya.

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX