Loading...

Knowledge Center


Protección frente a una variante modificada del ransomware Petya (junio de 2017)
Technical Articles ID:   KB89540
Last Modified:  05/09/2017
Rated:


Environment

Productos de McAfee que utilizan DAT

NOTA: Este artículo solo se aplica a productos empresariales de McAfee. Si necesita información o soporte para productos de McAfee para particulares o pequeñas empresas, visite https://service.mcafee.com.
Artículos para consumidores sobre Petya: TS102703.

Summary

McAfee es consciente de la existencia de una variante modificada del ransomware Petya (también conocido como PetrWrap, PetWrap, Petya.A o Petja) que se ha detectado en entornos corporativos.

  • McAfee ha liberado un Extra.DAT (adjunto a este artículo) para ofrecer cobertura ante esta amenaza.
     
  • Asimismo, McAfee ha liberado un DAT de emergencia para ofrecer cobertura para Petya, la cual también incluirán los DAT posteriores.
    Los DAT mínimos para la cobertura son:
     
    • VSE (8574) o superior
    • ENS (3025) o superior
       
  • El Extra.DAT adjunto a este artículo viene incluido en los DAT que se acaban de mencionar. Si no ha actualizado a los DAT expuestos arriba, debería seguir usando el Extra.DAT adjunto a este artículo.
     
  • McAfee también puede detectar esta amenaza en la reputación de archivos Global Threat Intelligence (GTI) (con el valor Bajo).
 

Consulte las observaciones y análisis de McAfee en el siguiente vínculo: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Este artículo se actualizará en cuanto se disponga de información adicional. Siga supervisando este documento para ver las actualizaciones.

Actualizaciones recientes de este artículo

Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.

Fecha Actualización
20 de julio de 2017 Se han agregado sinónimos que los clientes también buscaron.
19 de julio de 2017 Se ha corregido la información con respecto a PSExec.
3 de julio de 2017 Se han actualizado las reglas recomendadas de protección de acceso de VirusScan Enterprise y Endpoint Security para abordar de forma más eficiente esta variante específica de Petya.
28 de junio de 2017 17:30 GMT Se ha agregado información acerca de DAT de ENS (3025).
28 de junio de 2017 12:45 GMT Se ha agregado información acerca de DAT de emergencia (8574).
28 de junio de 2017 12:10 GMT Se ha agregado un vínculo a las observaciones y análisis de McAfee.
28 de junio de 2017 1:55 GMT Se ha agregado información acerca de las firmas definidas por el usuario (UDS) de Network Security (NSP) con cobertura actualizada.
28 de junio de 2017 0:40 GMT Se han actualizado las firmas actuales para agregar 0x43c0bd00- NETBIOS-SS: (MS17-010) Ejecución remota de código SMB (Eternal Tools y ransomware WannaCry).
27 de junio de 2017 22:40 GMT
  • Se han agregado reglas de protección de acceso de VSE y ENS.
  • Se han agregado recursos a la sección Información relacionada.
27 de junio de 2017 21:30 GMT
  • Había informes que indicaban que algunos usuarios no podían ver el Extra.DAT actualizado, de modo que hemos vuelto a adjuntarlo con un nuevo nombre. El nombre correcto del archivo debe ser EXTRADAT.zip.
  • Se ha agregado cobertura de McAfee NSP para Petya.
27 de junio de 2017 20:23 GMT Se ha actualizado con el nuevo archivo Extra.DAT.


Esta amenaza presenta los siguientes síntomas:

  • El método de propagación parece ser a través del protocolo de escritorio remoto (RDP) o el de bloque de mensajes del servidor (SMB).
     
  • El ransomware puede mostrar el siguiente mensaje en un PC infectado:

    Repairing file system on C:

    The type of the file system is NTFS.
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)
    [Reparando sistema de archivos en C: El tipo del sistema de archivos es NTFS. Uno de los discos contiene errores y debe repararse. Este proceso puede tardar varias horas. Se recomienda encarecidamente que lo deje completarse. ADVERTENCIA: NO APAGUE EL EQUIPO. SI CANCELA EL PROCESO, PODRÍA DESTRUIR TODOS SUS DATOS. ASEGÚRESE DE QUE EL CABLE DE ALIMENTACIÓN ESTÁ ENCHUFADO. CHKDSK está reparando el sector xxxxx de xxxxxxxx (x %)]

     
  • Tras el cifrado, puede que los sistemas afectados pidan al usuario que reinicie. Tras reiniciar, se muestra una pantalla de ransomware similar a la siguiente:



     
  • Las extensiones que se conoce que están afectadas son:  
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd y .zip

Solution

​Como acción de prevención prioritaria, actualice los sistemas con MS17-010si no contienen ya el parche.  
 

Cobertura de McAfee NSP para el ransomware Petya
Firmas actuales:
  • 0x43c0bd00- NETBIOS-SS: (MS17-010) Ejecución remota de código SMB (Eternal Tools y ransomware WannaCry)
  • 0x43c0b800- NETBIOS-SS: Vulnerabilidad de confusión de tipo MID y FID idéntica del SMBv1 de Windows (CVE-2017-0143)   
  • 0x43c0b400- NETBIOS-SS: Vulnerabilidad de ejecución remota de código SMB de Windows (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS: Vulnerabilidad de ejecución remota de código SMB de Windows (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS: Vulnerabilidad de escritura fuera de los límites de SMB de Microsoft Windows (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Vulnerabilidad de revelación de información del SMBv1 de Windows (CVE-2017-0147)  
  • 0x451e3300- HTTP: Vulnerabilidad de ejecución de código arbitrario OLE de Microsoft Office (CVE-2017-0199)
El equipo de investigación de NSP ha creado una firma definida por el usuario (UDS) con cobertura actualizada. La descarga de la UDS se encuentra disponible en el artículo KB55447.

El artículo que se menciona anteriormente solo está disponible para los usuarios registrados en ServicePortal.

Para ver artículos registrados, realice lo siguiente:
  1. Inicie sesión en ServicePortal en http://support.mcafee.com.
  2. Escriba el ID del artículo en el campo Buscar en Centro de conocimiento en la página principal.
  3. Haga clic en Buscar o pulse INTRO. 


Reglas de protección de acceso de VirusScan Enterprise (VSE) y Endpoint Security (ENS)
Las siguientes reglas de protección de acceso de VSE y ENS pueden ayudar a luchar contra el malware.  McAfee ha actualizado las reglas recomendadas de protección de acceso para abordar de forma más eficiente esta variante específica de Petya.

NOTA: Estas reglas de protección de acceso no eluden la necesidad de implementar el Extra.DAT. Están concebidas para ayudar a combatir el malware, pero no evitan que la carga útil de este se cree o se ejecute en un sistema.  Estas dos reglas de protección de acceso evitarán que rundll32.exe inicie cualquier instancia de cmd.exe y que se cree la utilidad PSExec de Microsoft Technet,  pero no que se descargue o se guarde el nombre original del archivo de PSExec, de modo que un administrador aún puede hacer uso de esta utilidad según sea preciso.
  
Reglas de protección de acceso de VSE
Proceso que incluir: rundll32.exe
Proceso que excluir:
Archivo o carpeta que bloquear: cmd.exe
Acciones: Bloquear ejecución

NOTA:  Esta acción evitará que el proceso llamado rundll32.exe ejecute cualquier instancia de cmd.exe, lo cual se ha determinado como uno de los comportamientos principales del malware.  Esto incluye cualquier software legítimo que pueda llevar a cabo el mismo comportamiento, con secuencias de comandos personalizadas como ejemplo.
 
Proceso que incluir.: *
Proceso que excluir:
Archivo o carpeta que bloquear: **\PSEXESVC.EXE
Acciones:  Bloquear creación

NOTA:  Esta acción evitará que cualquier proceso cree el servicio remoto de PSExec. Impedir la creación de este archivo puede ayudar a evitar que se replique PSExec, un componente empleado en la replicación de la carga útil de malware. Esta acción no evita que los administradores guarden copias nuevas de PSExec en los sistemas donde se aplica esta regla, pero sí que se cree PSEXESVC.EXE en el sistema de destino. De este modo, se impide el uso de PSExec, ya se emplee con propósitos maliciosos o propósitos administrativos remotos normales.
 
 
Reglas de protección de acceso de ENS
Crear una nueva regla con el estado de inclusión "Include" (Incluir) con rundll32.exe para el nombre del archivo o la ruta
Crear una subregla con un tipo de "archivos" y para incluir cmd.exe en el destino
Seleccionar la acción para evitar la ejecución
 
Crear una nueva regla con el estado de inclusión "Include" (Incluir) con * para el nombre del archivo o la ruta
Crear una subregla con un tipo de "archivos" y para incluir **\PSEXESVC.EXE en el destino
Seleccionar la acción para evitar la creación

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.