¿Qué está pasando con el nuevo brote de ransomware Petya?
En la tarde del 27 de junio (la tarde del 27 de junio, hora europea), una nueva variante de ransomware (esta vez llamada Petya) estalló nuevamente, lo que provocó que múltiples organizaciones y organizaciones en varios países europeos atacaran la empresa. El sistema quedó paralizado, poco más de un mes después de que el brote de ransomware Wannacry infectara a más de 150 países de todo el mundo en mayo de este año.
Las variantes del ransomware Petya se están propagando mucho más rápido que el brote de Wannacry en mayo. No solo utiliza el "Eternal Blue" de la NSA y otras armas de piratas informáticos para atacar las vulnerabilidades del sistema, sino que también utiliza la función "disfruta del administrador" para infiltrarse automáticamente en la intranet. En los países europeos más afectados, la nueva variante del virus se está propagando a un ritmo que infecta a más de 5.000 ordenadores cada 10 minutos. Algunos operadores, compañías petroleras, minoristas, aeropuertos, cajeros automáticos de bancos y otras empresas e instituciones públicas se han visto inundados de equipos. Incluso el ordenador del viceprimer ministro de Ucrania resultó infectado.
Actualmente, Ucrania parece ser uno de los países más afectados por Petya. El gobierno ucraniano, varios bancos nacionales y empresas de energía han emitido hoy alertas en respuesta al impacto de la infección de Petya.
Este ataque es una nueva variante del ransomware "Petya", que se sospecha que utiliza una combinación de correos electrónicos, descargadores y gusanos para propagarse, y luego utiliza la vulnerabilidad y debilidad MS17-010 (Eternal Blue). sistemas para difundir La contraseña se transmite dentro de la red.
Mientras tanto, el análisis preliminar muestra que Petya incluye una herramienta llamada "LSADump", que recopila datos de contraseñas y credenciales de computadoras con Windows y controladores de dominio en la red.
Por lo tanto, en comparación con el tan publicitado WannaCry, el ransomware Petya representa una mayor amenaza para toda la intranet, y la combinación de múltiples métodos de propagación se convertirá en la norma para la propagación del ransomware.
El virus ransomware Petya, que apareció por primera vez a principios de 2016, solía propagarse principalmente a través del correo electrónico. La reciente variante del virus Petya tiene capacidades de ataque totalmente automatizadas. Incluso si la computadora está completamente parcheada, aún puede infectarse a través de la penetración de otras máquinas en la intranet.
La nueva variante del virus (Petya) no solo cifra archivos, sino que también cifra y bloquea directamente todo el disco duro. Después de que aparece la siguiente interfaz y se paraliza, automáticamente propaga la infección a otras computadoras en la LAN. Servidor y terminal.
Petya exige a las víctimas que paguen un rescate de 300 dólares a través de la red Tor para desbloquear archivos cifrados, pero existe amplia evidencia de que los archivos no se pueden descifrar incluso después de pagar el rescate.
El ransomware se ha vuelto muy popular en Occidente, formando una cadena de industria negra, con una gran cantidad de correos electrónicos que contienen ransomware. Actualmente no hay pruebas claras de que el ransomware haya tenido un gran impacto en las economías de los países europeos, pero ha hecho saltar la alarma de que si se produce un brote a gran escala en el futuro, puede tener un impacto mayor.
Actualmente, un número muy pequeño de unidades en China han sido infectadas con Petya.
Es muy difícil descifrar el ransomware si los archivos están cifrados, actualmente no existe una solución muy eficaz, por lo que debemos centrarnos en reforzar la prevención.
A medida que la gente se familiariza más con el ransomware, cada vez más usuarios pueden considerar realizar copias de seguridad de sus datos.