Análisis y recomendaciones para evitar la infección de Petya Ransomware

Recomendaciones para evitar la infección de Petya Ransomware

Es detectado como Win32/Diskcoder.Petya.C, explota la vulnerabilidad de MS17-010 igual que WanaCry. Esta programado en C.

Como evitar la infección de petya.

Para evitar la infección por este Malware hay que crear el fichero.

C:\Windows\perfc
C:\Windows\perfc.dll

Reglas para el IDS Snort:

Reglas para detectas ms17-010 en snort.

Tal como muestra el código en C del ransomware Petya .

Analisis Ransomware Petya
Analisis Ransomware Petya

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Como se propaga el ransomware petya.

Exploits usados por petya para propagarse en redes LAN

  • EternalBlue
  • Vulnerabilidades para el software ukraniano М.Е. Doc.
  • Por último para entornos corporativos con SMB/CIFS/NetBios (Puerto TCP 445) utiliza PSExec , con la tecnica conocidad pash the hash mediante smb, solo infectaria equipos en red conectados a un PDC de Active directory o aquellos equipos con mismo usuario y contraseña + SSID.

Como llega petya a propagarse en redes WAN

El ransomware petya puede llegar mediante 2 formas.

  • Mediante un ataque de Phishing.
  • A través de un correo electrónico con un documento RTF mal formado que explota la vulnerabilidad  CVE-2017-0199 (Ejecución de código Remoto).
  • Si tienes el puerto 445 abierto, y no esta el parche MS17-010 instalado, también te puedes infectar, tal como sucedió en el CPD de OVH.

Como infecta petya nuestro equipo.

El malware crea una tarea programada con la siguiente instrucción, extraída del código fuente:  "C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\perfc.dat\\ y se lanza a la hora después de la infección.

Antes de reiniciarse limpia todos los registros del sistema mediante el comando:

evtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

 

 

Se intenta conectar con los siguientes hosts:

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247
  • 95.141.115.108

Llega desde siguientes correos:

Correos vinculados con el Rasomware petya
Correos vinculados con el Rasomware petya.

 

 

 

 

 

Extensiones infectadas por el ransomware petya.

  • .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak  .c .cfg
    .conf  .cpp  .cs  .ctl  .dbf  .disk  .djvu .doc  .docx .dwg
    .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora
    .ost .ova .ovf .pdf  .php .pmf .ppt .pptx  .pst .pvi .py
    .pyc .rar  .rtf .sln .sql .tar  .vbox .vbs .vcb .vdi .vfd
    .vmc  .vmdk .vmsd .vmx .vsdx  .vsv .work  .xls  .xlsx
    .xvd  .zip

Cartera Bitcoin de petya.

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX