La oleada de ataques con NotPetya buscaría la destrucción masiva de datos en lugar de su secuestro

A comienzos de esta semana una nueva oleada de ciberataques con epicentro en Ucrania hacía prever una situación parecida a la provocada por el ransomware WannaCry en el mes de mayo. Esta vez la situación algo más contenida, en parte porque WannaCry puso sobre aviso a numerosas compañías con sistemas desactualizados o escasamente protegidos, pero eso no impidió que NotPetya (también conocido como PetyaWrap o ExPetr) haya causado estragos en las redes internas de varias empresas. Ahora que comienza a asentarse la polvareda, los detalles sobre NotPetya muestran una realidad más inquietante de lo que cabía esperar inicialmente.

De acuerdo con los hallazgos de varias firmas de ciberseguridad como Kaspersky, NotPetya no es un ejemplo de ransomware. La característica que define a todo ransomware es que esta categoría de malware exige un rescate (ransom) a cambio de desbloquear los datos de un disco duro secuestrado mediante técnicas criptográficas. NotPetya, sin embargo, no permite recuperar la información cifrada. De hecho, el malware toma medidas muy concretas para evitar su posible rescate, dando a entender que su verdadero propósito es la destrucción masiva de datos en las redes atacadas.

El funcionamiento de NotPetya es particularmente malicioso. Aunque inicialmente fue identificado de forma errónea como una variante de Petya, NotPetya trata de emular su funcionamiento para evitar un diagnóstico correcto o distraer a los administradores de sistemas.

Como si fuera un ransomware, NotPetya cifra el registro de arranque principal o MBR del disco duro para evitar el acceso a los datos por parte del usuario y exige a continuación un supuesto rescate. Llegados a este punto un malware tipo permitiría recuperar la información después de pagar un rescate utilizando algún tipo de criptomoneda, pero NotPetya no tiene el menor interés en devolver el acceso a los contenidos del disco duro. Al contrario, el malware sobrescribe parte del MBR, haciendo imposible su recuperación. Esto lo convierte en un wiper disfrazado. Una ciberarma.

De acuerdo con un investigador, NotPetya no ha sido diseñado para ganar dinero, sino para "extenderse rápidamente y causar daño manteniendo la tapadera de la negación plausible".

Por el momento se desconoce el origen de NotPetya y su posible objetivo. Lo único que se sabe es que su difusión fue posible gracias al uso de dos exploits robados a la NSA y que fue inicialmente difundido a través del mecanismo de actualización de M.E.Doc, una aplicación de contabilidad utilizada por empresas que hacen negocios en Ucrania.

Fuente: ArsTechnica
La empresa donde trabajo ha sido una de las afortunadas.
Ahora bien, sin saber mucho del tema, si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?
Oh y ahora quien podra defendernos, que putada, creo que dejare de navegar por internet en mi pc, y me dare baja en mi compañia de INTERNET. Es lo mejor
3lgaro escribió:La empresa donde trabajo ha sido una de las afortunadas.
Ahora bien, sin saber mucho del tema, si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?

No creo que cifre sólo el MBR pero desde luego, el MBR es lo más fácil de recuperar. Además de que para recuperarlo sin problemas sólo hay que hacerle backup una vez y listo.
Que vulnerabilidad tenemos en internet.. y manejan los datos como quieren y encima se lo ofrecemos gratis.... Son solo avisos desde luego, para que seamos conscientes de todo
tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð
D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



Cuando el neófito pulsa donde no debería pulsar!
emipta escribió:
D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



Cuando el neófito pulsa donde no debería pulsar!



Si me explicas donde no hay que pulsar , se te agradecería [poraki]

[bye] [bye]
emipta escribió:
D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



Cuando el neófito pulsa donde no debería pulsar!


En este caso no es así, ya que se colaba por el proceso de actualización de un mierdeprograma de contabilidad. Lo mismo ni siquiera requería de la acción del usuario.
D3mian escribió:
emipta escribió:
D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



Cuando el neófito pulsa donde no debería pulsar!



Si me explicas donde no hay que pulsar , se te agradecería [poraki]

[bye] [bye]

Aqui
Imagen
3lgaro escribió:si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?

Eso estaba pensando yo ...
3lgaro escribió:La empresa donde trabajo ha sido una de las afortunadas.
Ahora bien, sin saber mucho del tema, si sólo sobreescribe el MBR ¿No sería posible recuperar la mayoría de los datos con algún software de recuperación?


De hecho he visto el virus en funcionamiento y es una chorrada. Según muestran cuando se ejecuta lo primero que hace es copiarse a todos los ordenadores posibles conectados a la red, una vez finalizado te salta un pantallazo azul de error. Mientras tengas este pantallazo puedes hacer una copia de seguridad de todos tus datos (aunque el virus también se copiara) pero eso que puedes hacer backup. Al reiniciar es cuando te sale una ventana similar al modo texto de Windows diciendo que se esta reparando el sistema de archivos y en realidad te encripta el MBR, una vez hecho eso te sale una ventana donde hacer pagos, mail y todo eso y para introducir la clave. Lo primero es que la dirección de mail ya no existe, así que no es posible hacer pagos o demostrar el pago. Lo segundo es que el virus esta programado para que pongas la clave que pongas siempre diga error, es decir un IF (PRINT: código incorrecto) y ELSE (vacío).

De todas formas lo de buscar la destrucción masiva de datos en lugar de secuestro... todos sabemos que cuando entra un ransom solo un tonto pagaría ya que nunca recuperas los datos así que si te pasa directamente formateas y normalmente te da igual porque sueles tener copias de seguridad de datos que son realmente importantes.

Y sino todos a Linux y se acabo el problema :P

Lo de recuperar el MBR no se puede, el virus encripta el MBR pero luego mientras tienes la ventana de que has sido infecto se pone a encriptar todo el disco duro mientras tu lees el mensaje de que debes pagar a cuenta de bitcoin 300 pavos y mandar un mail a tal sitio para recibir un key de desbloqueo, asi que os podeis olvidar.

La única posibilidad es cuando salta el pantallazo azul con el error, mientras se quede allí no se cifrara nada, y ademas han logrado un sacar un programa (según he leído) que permite eliminar el ransom en dicho momento. Por lo que ha durado poco el virus.
CrusardGameamos escribió:
D3mian escribió:
emipta escribió:

Cuando el neófito pulsa donde no debería pulsar!



Si me explicas donde no hay que pulsar , se te agradecería [poraki]

[bye] [bye]

Aqui
Imagen



vaya.....todavia sigue picando la gente con esas cosas [facepalm] . Yo pensaba que se metia via correo..... gracias por la info chic@s!!!!!!

[bye] [bye]
D3mian escribió:
CrusardGameamos escribió:
D3mian escribió:

Si me explicas donde no hay que pulsar , se te agradecería [poraki]

[bye] [bye]

Aqui
Imagen



vaya.....todavia sigue picando la gente con esas cosas [facepalm] . Yo pensaba que se metia via correo..... gracias por la info chic@s!!!!!!

[bye] [bye]

Siendo serios ahora, no es solo eso, lo importante en internet, sobre todo en empresas, es ser un usuario "Higienico", es decir, no crackear, no descargarse cosas de sitios que no confias, leer bien las cosas antes de instalarlas, asegurarte que el programa que estas instalando es el programa que quieres instalar, tener cuidado a la hora de navegar por internet, asegurarte que la pagina que estas viendo es en realidad la pagina que quieres ver (HTTPS, Dominio, ETC), bloquear a la gente de skype que te agrega y te dice "Hola, soy Tiffany, descargate aqui mis fotos", ETC, ETC y ETC...
El problema es el tiempo de demora entre que sale el parche / solución hasta que son actualizados los sistemas de producción. No siempre se puede hacer nada mas salir el parche porque suele romper mas que arregla (depende de las configuraciones).

Eso no quita que el zopenco de turno abra un email infectado y lo ejecute, contra eso no hay cura.
WannaCry se ejecutaba a modo de supuesto pdf ejecutable, y luego se propagaba a través de la red. No creo que sea justo blasfemar sobre el típico secretario o contable que no tiene ni idea de informática. En todo caso sobre el encargado de sistemas de la empresa que no ha advertido y explicado contramedidas.

Si no se podía hacer el pago, a lo mejor su intención era disparar el valor del Bitcoin. Todo dios comprando bitcoins para pagar, sube el precio, los que han hecho el virus venden sus bitcoins, y parado el virus se vuelven a estabilizar los valores. Así no hay forma ninguna de rastrearles porque nadie les ha llegado a enviar el dinero, ni siquiera a través de los teóricamente anónimos bitcoins.
El error del usuario tambien va acompañado de navegadores de MIERDA. Que viven de publicidad y dejan lanzar cuanta ventana emergente se le antoje, asi tengas ad block.

Hay una mierda que llega al punto de querer instalar una extension en chrome y en muchos casos hay que cerrar el proceso del navegador para poder seguir.

Son la puta verguenza.
Yo uso rasomfree para evitar que algun rasomware haga de las suyas en mi PC y en los del trabajo, y por supuesto tengo copia de seguridad una semana atrás máximo de todos los datos desconectada de la red.
si toca el sistema MBR no debería afectar también a Linux?
@CrusardGameamos

Siendo serios ahora, no es solo eso, lo importante en internet, sobre todo en empresas, es ser un usuario "Higienico", es decir, no crackear, no descargarse cosas de sitios que no confias, leer bien las cosas antes de instalarlas, asegurarte que el programa que estas instalando es el programa que quieres instalar, tener cuidado a la hora de navegar por internet, asegurarte que la pagina que estas viendo es en realidad la pagina que quieres ver (HTTPS, Dominio, ETC), bloquear a la gente de skype que te agrega y te dice "Hola, soy Tiffany, descargate aqui mis fotos", ETC, ETC y ETC...



Lo pregunto porque trabajo la mayor parte del tiempo con internet y con el outlook , y si me llega un pdf de un cliente que no espero o este registrado , o vamos como dices tu el tipico mail que dice soy Tiffany descargate aqui mis fotos , directamente no los abro.

[bye] [bye]
accanijo escribió:Yo uso rasomfree para evitar que algun rasomware haga de las suyas en mi PC y en los del trabajo, y por supuesto tengo copia de seguridad una semana atrás máximo de todos los datos desconectada de la red.


Los antivirus etc solo bloquean lo que conocen con lo cual si eres de los primeros ya puedes tener una vela a algún santo que te lo comes si o si
berny6969 escribió:
accanijo escribió:Yo uso rasomfree para evitar que algun rasomware haga de las suyas en mi PC y en los del trabajo, y por supuesto tengo copia de seguridad una semana atrás máximo de todos los datos desconectada de la red.


Los antivirus etc solo bloquean lo que conocen con lo cual si eres de los primeros ya puedes tener una vela a algún santo que te lo comes si o si


Esto no es un antivirus, esto es un programa que crea varias carpetas con archivos en la raíz de todas las unidades y lo hace poniéndolas al principio y al final del orden de la unidad para que sean los primeros archivos que se modifiquen por un rasomware, en cuando detecta que esos archivos se modifican automáticamente apaga todo.
Alejo I escribió:De acuerdo con un investigador, NotPetya no ha sido diseñado para ganar dinero, sino para "extenderse rápidamente y causar daño manteniendo la tapadera de la negación plausible".


¿Entonces lo de exigir dinero (aparte de ánimo de lucro) es una maniobra de distracción?
latruchasuici escribió:si toca el sistema MBR no debería afectar también a Linux?

No.
No puede ejecutarse.
Es como decir que la xbox o la ps estan en riesgo
accanijo escribió:
berny6969 escribió:
accanijo escribió:Yo uso rasomfree para evitar que algun rasomware haga de las suyas en mi PC y en los del trabajo, y por supuesto tengo copia de seguridad una semana atrás máximo de todos los datos desconectada de la red.


Los antivirus etc solo bloquean lo que conocen con lo cual si eres de los primeros ya puedes tener una vela a algún santo que te lo comes si o si


Esto no es un antivirus, esto es un programa que crea varias carpetas con archivos en la raíz de todas las unidades y lo hace poniéndolas al principio y al final del orden de la unidad para que sean los primeros archivos que se modifiquen por un rasomware, en cuando detecta que esos archivos se modifican automáticamente apaga todo.


Muchos ramsonwares codifican ficheros aleatorios o sea que ya me contarás, backup si tienes y sino ko
A nivel personal, no pasaba lo mismo cuando se rompía un hdd y no se tenia copias de respaldo ? Ahora si sos empresa y te pasa... jodete.

" Ay me robaron mi casa !!!! es que no la cerré con llave "
No hay mal que por bien no venga, si viene visita de Montoro y Cia por la oficina de la empresa de turno sujeta a inspeccion puede valer de excusa para decir que no hay nada que mostrar porque el virus jodio todos los discos duros, si jode a empresas grandes con mas razon para las pequeñas [sonrisa]
También es un gran problema, la gente, que por comodidad o cabezonería, no actualizan el software, diciendo que como va bien, para que actualizarlo. Pero se está viendo, que hay que actualizar a la fuerza. Porque el rasomware anterior, el ataque fue más gordo, por no actualizar.

Porque linux es seguro, mientras no empiecen a meterle mano. Cuando empiecen, tampoco es tan seguro.
mmiiqquueell escribió:Y sino todos a Linux y se acabo el problema :P


Realmente es lo más seguro, como este tipo de ataques empiecen a popularizarse va a ser la medida más coherente.

Tengo familiares que son de pinchar todo, no son pocas las veces que les he tenido que desinfectar el equipo que estaba petado. Más de una vez les he dicho "a la próxima te meto Linux". A la hora de la verdad el usuario medio no lo va a notar, navegar, correo, feisbuk...todo igual, pero solo el cambio de skin ya les asusta.
GNU/Linux puede ser tan vulnerable como Windows, lo que está en medio entre la CPU y la silla marca la diferencia.

De todas formas, entre Windows y GNU/Linux es que si este último no se aprovecha de alguna vulnerabilidad de escalado de privilegios, tu /home se la come (te la cifrará) pero el directorio raíz / quedará sin poder tocarlo. Algo tan sencillo como cargarse el user y crear otro nuevo.

Con Windows es peor, ya que se te mete en las tripas del S.O. haciendo mucho mas daño de modo que, seguid usando cuentas de administrador para las tareas cotidianas cuando en realidad no hace falta, aunque en el caso de Windows no se si eso sería muy efectivo pero al menos podría frenarlo mucho.

Todo esto a groso modo, sin matizar demasiado, habrá excepciones.
AxelStone escribió:
Realmente es lo más seguro, como este tipo de ataques empiecen a popularizarse va a ser la medida más coherente.

Tengo familiares que son de pinchar todo, no son pocas las veces que les he tenido que desinfectar el equipo que estaba petado. Más de una vez les he dicho "a la próxima te meto Linux". A la hora de la verdad el usuario medio no lo va a notar, navegar, correo, feisbuk...todo igual, pero solo el cambio de skin ya les asusta.



Cambio de Skin? Ubuntu ahora es una mierda pinchada en un palo pero es idéntico a Windows en el entorno gráfico y atajos de teclado. Aunque la barra esta en el lado izquierdo lo puedes colocar abajo.

El problema de Linux que me impide pasarme de forma definitiva es la compatibilidad con juegos y programas así como que da mucho la lata para instalar programas o actualizarlos con el apt y eso me molesta mucho. Igualmente Linux se libra de este pero hay Ransom ware que le afecta igual que virus y lo que sea, ningún sistema es infranqueable, la diferencia es que las empresas usan mas windows que linux por lo que es mas fácil atacar un windows que un linux.

coyote escribió:GNU/Linux puede ser tan vulnerable como Windows, lo que está en medio entre la CPU y la silla marca la diferencia.

De todas formas, entre Windows y GNU/Linux es que si este último no se aprovecha de alguna vulnerabilidad de escalado de privilegios, tu /home se la come (te la cifrará) pero el directorio raíz / quedará sin poder tocarlo. Algo tan sencillo como cargarse el user y crear otro nuevo.

Con Windows es peor, ya que se te mete en las tripas del S.O. haciendo mucho mas daño de modo que, seguid usando cuentas de administrador para las tareas cotidianas cuando en realidad no hace falta, aunque en el caso de Windows no se si eso sería muy efectivo pero al menos podría frenarlo mucho.

Todo esto a groso modo, sin matizar demasiado, habrá excepciones.



Pienso que Linux es mas vulnerable a ciertos ataques, Windows te pueden joder bastante pero por lo menos tiene bastantes bloqueos en caso que se metan y en este ramson puedes hacer copia antes de que cifre lo cual es una ventaja. En caso de Linux con un keylogger te pueden sacar la contraseña de root, luego es que el ransom te haga un [ rm -r / ] y adiós a todos los datos, un simple comando que no puedes detener como seria windows y al ser un sistema tan pequeño todo desaparece en cosa de 3 segundos, windows al tener tanta mierda tarda mucho tiempo así que te da tiempo a parar el borrado o el cifrado. Igualmente en Windows seas o no admin un usuario normal tiene privilegios (a menos que lo capes, pero haciendo eso no podrás hacer mucho en el SO) y es un poco tontería desde el punto de vista de un programador ya que basta que el virus se instale en el MBR y se haga independiente y ya tanto da que tengas contraseñas o lo que sea, te borra o cifra el disco completo sin importar el SO.
willert escribió:El error del usuario tambien va acompañado de navegadores de MIERDA. Que viven de publicidad y dejan lanzar cuanta ventana emergente se le antoje, asi tengas ad block.

Hay una mierda que llega al punto de querer instalar una extension en chrome y en muchos casos hay que cerrar el proceso del navegador para poder seguir.

Son la puta verguenza.



jajajja el odiado por mi "haga click en instalar extension" jjaj, pero vamos no hace falta cerrar ni el navegador ni procesos... con darle a tecla "escape" y dejando el raton en la "X" de cerrar pestaña, si eres rapido te dice un dialogo si deseas salir de la pagina, le das que si y listo... el que hizo esa pestaña es pa matarlo por que odio esa publi jaja
@mmiiqquueell No comparto tu opinión con Ubuntu, creo que se le critica más de lo justo. Llevo casi 10 años usándolo en el trabajo y no me parece que haya ido "tan a peor", lo tengo instalado con su Gnome (el Unity no termina de gustarme) y me parece un fantástico S.O. De hecho es al versión que tengo previsto instalarles como les pete en gordo el equipo, un Ubuntu Gnome.

Sobre actualizaciones, a mi me han ido bastante bien siempre que instales versiones LTS (las demás no valen para nada, son de transición), tienes años de soporte garantizado con paquetes testeados.

Para el usuario neófito hasta cambiar los colores es un cambio de skin, de ahí la brecha digital que impide instalar nada que no sea Windows.
D3mian escribió:
emipta escribió:
D3mian escribió:tengo una duda, esto como te lo cuelan? por abrir un correo ? o navegando con las típicas ventanitas de publicidad? :Ð



Cuando el neófito pulsa donde no debería pulsar!



Si me explicas donde no hay que pulsar , se te agradecería [poraki]

[bye] [bye]

Este
Imagen
xD
@AxelStone

Yo lo usaba mucho desde la versión 7 que instale por primera vez hasta la 12, en la versión 13 empezó a dar problemas y en la 14 metieron el entorno unity y la cagaron de lleno y durante todo un año he estado utilizando el Ubuntu 16 y 4GB de RAM no le bastaban, nada más iniciar ya se comía 3GB y se colgaba por cualquier cosa, una mierda. También me dio por probar el Ubuntu 17.04 y menuda cagada, casi nada funciona, todo peta o da errores o se cuelga sin más, todo el tiempo saltando de que Ubuntu a experimentado un error y cosas asi. Por eso yo prefiero Debían o Mint, son ligeros, rápidos y entorno muy simplista. El Lubuntu también va rápido pero falla de por todo o al menos a mi me decía que no podía instalar nada o no se encontró el paquete o cosas asi y para ejecutar lo mismo, en lugar de abrir programas me abría con el gestor de archivos...

Supongo que Linux depende mucho del HW en el que se ejecuta. El que me gusto fue el Rasbian, muy rápido xD claro, diseñado para Raspberry pi.

Pero yo ya digo, Linux el ultimo que recomiendo es Ubuntu, por muy bien que vaya no es lo que era hace 6 años atrás. Para mi el mejor fue ubuntu 9.


------------------------------------------------------------
A los demás que habla sobre como pueden entrar este tipo de virus o malwares, no hace falta pulsar sobre nada. Basta entrar en una pagina web cualquiera (normalmente suelen ser de descargas o porno) y las cookies que se guardan ya llevan ese ransomware, por eso el antivirus te salta de inmediato si hay virus. Sobretodo los que descargan pirata un programa o un juego que te ponen (Crack podría ser detectado como falso positivo), NO, no es falso, es un virus o malware, lo ejecutas con la idea de que es falso positivo y luego te pasa esto, pero claro, la culpa es de Windows que es una mierda, verdad? Un crack no tiene que tener virus o malwares, una cosa es que te salga alerta opcional como es un autoclicker que te dice que es un programa de auto clic, otra que te salga que el programa tiene PUPs (de cuando al instalar te pide si quieres instalar el dichoso Chrome o algún programa extra que no te interesa) y otra es que el supuesto crack te lo detecte como "Win32: Troyan" o algo asi.

En pocas palabras, todo depende de donde te metas y que descargues, sobretodo contenido pirata con esos cracks que dicen tener falso positivos y sobretodo las webs porno que sin darte cuenta te descargan programas no deseados y se instalan mientras estas en tu FAP time. xD.
@mmiiqquueell Pero esa memoria muy probablemente es Unity el que la demanda, pq con Gnome a mi me va bastante bien. En el trabajo he instalado al mismo portátil Ubuntu 10.04, Ubuntu 12.04 y el último el 14.04. Obviamente el 10 es el más ligerito, pero los otros también han ido bien, lo cuál no está mal considerando que el portátil sigue siendo un equipo normal.

Por otro lado instalar versiones que no sean LTS (veo que te has instalado la 13 y la 17) te va a dar problemas seguros, es un hecho que se trata de versiones experimentales de transición entre las LTS. He probado alternativas como Mint (no va tan fino como dicen) o Debian (demasiado rústico!) y sigo prefiriendo Ubuntu.
lokojose escribió:
willert escribió:El error del usuario tambien va acompañado de navegadores de MIERDA. Que viven de publicidad y dejan lanzar cuanta ventana emergente se le antoje, asi tengas ad block.

Hay una mierda que llega al punto de querer instalar una extension en chrome y en muchos casos hay que cerrar el proceso del navegador para poder seguir.

Son la puta verguenza.



jajajja el odiado por mi "haga click en instalar extension" jjaj, pero vamos no hace falta cerrar ni el navegador ni procesos... con darle a tecla "escape" y dejando el raton en la "X" de cerrar pestaña, si eres rapido te dice un dialogo si deseas salir de la pagina, le das que si y listo... el que hizo esa pestaña es pa matarlo por que odio esa publi jaja


Ya me diras como evitas eso en un pc en el salon, controlado con un mando XD

Vergonzoso lo de los navegadores. El usuario sin conocimiento termina instalando todo eso, porque es totalmente intrusivo.
37 respuestas