Log in
logo

COUNTERING CYBER THREATS

barra-separadora
  • El ID-20/17 es accesible a todos los usuarios desde el portal del CCN-CERT
  • Este código dañino, pese a contar con características de ransomware, posee capacidades destructivas importantes y los archivos no pueden ser recuperados excepto desde copias de seguridad previas.
  • El CERT Gubernamental Nacional publica este informe con reglas de detección y con información sobre el procedimiento de infección, la persistencia en el sistema y el cifrado y ofuscación del código dañino.

El CCN-CERT ha publicado en la parte pública de su portal el Informe de Código Dañino “CCN-CERT ID-20/17 Ransom.Petya/NotePetya” en el que se recoge un análisis preliminar de la campaña masiva producida en varios países con distintas muestras de ransomware de la familia Petya. Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE y ETERNALROMANCE.

A diferencia de la campaña WannaCry, en esta se enumera la red interna mediante DHCP, obteniendo direcciones IP en el rango de la subred mediante funciones de Windows, e intenta conectarse a determinados recursos compartidos en todas las máquinas a las que pueda acceder. Además, y pese a contar con características de ransomware, posee capacidades destructivas ya que los sectores de arranque cifrados no pueden ser restaurados, incluso si se cumple una condición concreta los sectores del arranque son borrados en su totalidad impidiendo que el sistema operativo arranque. Del mismo modo al haber cifrado archivos en el disco éstos no pueden ser recuperados excepto desde copias de seguridad previas.

Como es habitual en este tipo de Informes, el CERT Gubernamental Nacional incluye las siguientes secciones:

  • Información y características del código dañino
  • Procedimiento de infección
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante

Además, se incluyen diversos Anexos con una regla Yara de detección.

Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

Acceso a Informe

CCN-CERT (4-07-2017)

 

Go back

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración