Informe del ransomware Petya/NotPetya, protagonista de una campaña masiva global

Details: Published: 04 July 2017

El ID-20/17 es accesible a todos los usuarios desde el portal del CCN-CERT
Este código dañino, pese a contar con características de ransomware, posee capacidades destructivas importantes y los archivos no pueden ser recuperados excepto desde copias de seguridad previas.
El CERT Gubernamental Nacional publica este informe con reglas de detección y con información sobre el procedimiento de infección, la persistencia en el sistema y el cifrado y ofuscación del código dañino.

El CCN-CERT ha publicado en la parte pública de su portal el Informe de Código Dañino “CCN-CERT ID-20/17 Ransom.Petya/NotePetya” en el que se recoge un análisis preliminar de la campaña masiva producida en varios países con distintas muestras de ransomware de la familia Petya. Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE y ETERNALROMANCE.

A diferencia de la campaña WannaCry, en esta se enumera la red interna mediante DHCP, obteniendo direcciones IP en el rango de la subred mediante funciones de Windows, e intenta conectarse a determinados recursos compartidos en todas las máquinas a las que pueda acceder. Además, y pese a contar con características de ransomware, posee capacidades destructivas ya que los sectores de arranque cifrados no pueden ser restaurados, incluso si se cumple una condición concreta los sectores del arranque son borrados en su totalidad impidiendo que el sistema operativo arranque. Del mismo modo al haber cifrado archivos en el disco éstos no pueden ser recuperados excepto desde copias de seguridad previas.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones: