Nueva oleada mundial de ransomware

Los servicios españoles a través de CERTSI dicen que se está produciendo una infección de equipos con sistemas Windows en diferentes organizaciones, por un malware del tipo ransomware y de la familia conocida como Petya o Petrwrap, y solicitando un pago a través de bitcoin de 300 dólares.


La infección se está produciendo a través de equipos con sistemas Windows en diferentes organizaciones incluidas españolas como el puerto de Barcelona.  Y ya ha afectado a grandes empresas de todo el mundo entre las que se encuentran Maersk, Rosneft, Mondelez, Merck o el metro y entidades gubernamentales de Kiev, entre otras, según Trend Micro Que por cierto ya informó de la existencia de Petya hace más de un año, en marzo de 2016, cuando afectó entre otros a Dropbox.


Los datos de telemetría de la Kaspersky indican, hasta la fecha, el ataque a unos 2.000 usuarios. Las organizaciones de países como Rusia y Ucrania han sido las más afectadas. Además hemos registrado impactos de este ataque en Polonia, Italia, Reino Unido, Alemania, Francia, Estados Unidos, España y en otros países.

Este malware de ahora es de tipo ransomware y de la familia conocida como Petya o Petrwrap, y está solicitando un pago a través de bitcoin de 300 dólares.
Se desconoce el método de infección pero su propagación sería similar a WannaCry, pero también podría propagarse a través de otros mecanismos habituales de este tipo de malware.
Se recomienda tomar las siguientes medidas preventivas:
  • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de seguridad de sus ficheros.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.
Según se informa Trend Micro PETYA todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un "aspirante" busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato. 

En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo.