{"id":10732,"date":"2017-06-27T19:02:40","date_gmt":"2017-06-27T19:02:40","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=10732"},"modified":"2017-10-13T09:48:32","modified_gmt":"2017-10-13T15:48:32","slug":"new-ransomware-epidemics","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/","title":{"rendered":"Nuevo brote de ransomware Petya \/ NotPetya \/ Expetr"},"content":{"rendered":"<p>Ayer, surgi\u00f3 un nuevo brote de <em>ransomware<\/em> y, al parecer, tiene la misma magnitud que el reciente <a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-ransomware\/9148\/\" target=\"_blank\" rel=\"noopener\">WannaCry.<\/a><\/p>\n<p><img decoding=\"async\" class=\"size-full wp-image-13583 aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/06\/27183020\/wannamore-ransomware-featured1.jpg\" alt=\"\" width=\"1460\" height=\"960\"><\/p>\n<p>Una gran cantidad de grandes empresas de diferentes pa\u00edses ha informado de que dicha epidemia les ha afectado y es probable que su magnitud no deje de aumentar.<\/p>\n<p>Algunos investigadores han sugerido que el nuevo <em>ransomware<\/em> puede ser o WannaCry (que no lo es) o una variaci\u00f3n de <a href=\"https:\/\/latam.kaspersky.com\/blog\/petya-ransomware\/6915\/\" target=\"_blank\" rel=\"noopener\">Petya<\/a> (sea Petya.Am Petya.D o <a href=\"https:\/\/securelist.com\/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks\/77762\/\" target=\"_blank\" rel=\"noopener\">PetrWrap<\/a>). Los expertos de Kaspersky Lab han llegado a la conclusi\u00f3n de que el nuevo <em>malware<\/em> es bastante diferente de las anteriores versiones que se conocen de Petya y, por ello, lo estamos tratando como una familia de <em>malware<\/em> diferente. La hemos llamado ExPetr (o NotPetya, de forma no oficial).<\/p>\n<p>Parece ser que el ataque es complejo y se da mediante diferentes vectores de ataque. Podemos confirmar que se est\u00e1 utilizando un <em>exploit<\/em> modificado de EternalBlue para propagarlo, al menos en redes corporativas. Haz click para obtener <a href=\"https:\/\/securelist.com\/schroedingers-petya\/78870\/\" target=\"_blank\" rel=\"noopener\">m\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque.<\/a><\/p>\n<p><img decoding=\"async\" class=\"size-full wp-image-13584 aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/06\/27183147\/wannamore-ransomware-screenshot.jpg\" alt=\"\" width=\"1280\" height=\"745\">Por ahora, los productos de Kaspersky Lab detectan el nuevo &lt;i&gt;ransomware&lt;\/i&gt; con los siguientes nombres:<\/p>\n<ul>\n<li>Trojan-Ransom.Win32.ExPetr.a<\/li>\n<li>HEUR:Trojan-Ransom.Win32.ExPetr.gen<\/li>\n<li>UDS:DangerousObject.Multi.Generic (detectado por Kaspersky Security Network)<\/li>\n<li>PDM:Trojan.Win32.Generic (detectado por the System Watcher feature)<\/li>\n<li>PDM:Exploit.Win32.Generic (detectado por the System Watcher feature)<\/li>\n<\/ul>\n<h3><strong>Recomendaciones para nuestros clientes corporativos<\/strong><\/h3>\n<ol>\n<li>Aseg\u00farate de que Kaspersky Security Network y los componentes de System Watcher se encuentran activados.<\/li>\n<li>Actualiza inmediatamente de forma manual las bases de datos de antivirus.<\/li>\n<li>Instala todas las actualizaciones de seguridad para Windows. La que soluciona\u00a0<em>bugs<\/em><em>\u00a0<\/em>explotados\u00a0por EternalBlue es especialmente importante.\u00a0<a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-windows-update\/9995\/\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed te explicamos c\u00f3mo hacerlo.<\/a><\/li>\n<li>Como medio de protecci\u00f3n adicional, puedes usar el <a href=\"https:\/\/help.kaspersky.com\/keswin\/10sp2\/es-MX\/39265.htm\" target=\"_blank\" rel=\"noopener nofollow\">Control de actividad de aplicaciones<\/a>, un componente de Kaspersky Endpoint Security, para <a href=\"http:\/\/support.kaspersky.com\/mx\/10905\" target=\"_blank\" rel=\"noopener\">denegar cualquier acceso<\/a>.<\/li>\n<li>De manera alternativa, utiliza el Control de inicio de aplicaciones incluido en Kaspersky Endpoint Security para bloquear la ejecuci\u00f3n de la utilidad PSEec, pero utiliza el Control de actividad de aplicaciones para bloquear <em>perfc.dat<\/em>.<\/li>\n<li>Configura y activa el modo de denegaci\u00f3n por defecto en el Control de inicio de aplicaciones de KasperskyEndpoint Security para asegurarte y reforzar la defensa proactiva contra este y otros ataques.<\/li>\n<li>Tambi\u00e9n puedes usar la caracter\u00edstica AppLocker para desactivar la ejecuci\u00f3n del archivo <em>perfc.dat<\/em> y de la utilidad PSExec.<\/li>\n<\/ol>\n<h3><a href=\"https:\/\/go.kaspersky.com\/Ransomware.es.html\"><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/05\/06015721\/Banner_1460x300_B2B_EN.jpg\"><\/a><strong>Consejos para nuestros clientes individuales<\/strong><\/h3>\n<p>Al parecer, esta amenaza ha afectado menos a los usuarios dom\u00e9sticos; los ciberdelincuentes responsables van a por grandes empresas. Sin embargo, una protecci\u00f3n efectiva nunca viene mal. Esto es lo que puedes hacer:<\/p>\n<ol>\n<li>Crea una copia de seguridad de tus datos. Esa es siempre una buena idea durante estos tiempos turbulentos.<\/li>\n<li>Si utilizas una de nuestras soluciones de seguridad, aseg\u00farate de tener activados los componentes Kaspersky Security Network y System Watcher.<\/li>\n<li>Actualiza de forma manual las bases de datos de tu antivirus. En serio, hazlo en este momento; no te llevar\u00e1 mucho tiempo.<\/li>\n<li>Instala todas las actualizaciones de seguridad de Windows. La que soluciona\u00a0<em>bugs<\/em><em>\u00a0<\/em>explotados\u00a0por EternalBlue es especialmente importante.\u00a0<a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-windows-update\/10552\/\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed te explicamos c\u00f3mo hacerlo.<\/a><\/li>\n<\/ol>\n<p><a href=\"https:\/\/latam.kaspersky.com\/downloads\/thank-you\/internet-security-free-trial\"><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2016\/12\/06021037\/ransomware_EN-1.png\"><\/a>De acuerdo con la <a href=\"https:\/\/motherboard.vice.com\/en_us\/article\/new8xw\/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid\" target=\"_blank\" rel=\"noopener nofollow\"><u>actualizaci\u00f3n de Motherboard<\/u><\/a>, el proveedor alem\u00e1n de correo electr\u00f3nico, Posteo, cerr\u00f3 la direcci\u00f3n de correo electr\u00f3nico que se supon\u00eda que iba a ser utilizada por las v\u00edctimas para contactar a los extorsionadores, confirmar las transacciones de bitcoins y recibir las claves de descifrado. Lo que esto significa es que las v\u00edctimas que pretend\u00edan pagar a los criminales ya no podr\u00e1n recuperar sus archivos. En Kaspersky Lab, no abogamos por pagar el rescate, y en este caso parece ser in\u00fatil de todos modos.<\/p>\n<p><strong>Actualizaci\u00f3n:\u00a0<\/strong>M\u00e1s que eso, nuestros analistas expertos nos<a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\"> indican que nunca hubo esperanza<\/a> para la recuperaci\u00f3n de datos de las v\u00edctimas.<\/p>\n<p>Los investigadores de Kaspersky Lab analizaron el c\u00f3digo de cifrado de rutina y determinaron que despu\u00e9s del cifrado del disco, el actor de la amenaza no pudo descifrar los discos de las v\u00edctimas. Para descifrarlos, los actores necesitan la instalaci\u00f3n ID. En versiones previas de <em>ransomware<\/em>\u00a0similares a Petya\/Moscha\/GoldenEye, la instalaci\u00f3n ID conten\u00eda la informaci\u00f3n necesaria para la recuperaci\u00f3n.<\/p>\n<p>ExPetr (tambi\u00e9n conocido como NotPetya), no tiene esa instalaci\u00f3n ID, lo que significa que el actor de la amenaza no pudo extraer la informaci\u00f3n necesaria para descifrar. Resumiendo, las v\u00edctimas no pudieron recuperar sus datos.<\/p>\n<p>No paguen el rescate. No sirve de nada.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El brote de un nuevo ransomware se est\u00e1 dando a conocer en estos momentos. Esto es lo que sabemos de momento y lo que puedes hacer para protegerte de esta amenaza.<\/p>\n","protected":false},"author":40,"featured_media":10735,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[2610,2993,2613,1886,212,2451,472,1262,2954],"class_list":{"0":"post-10732","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-bloqueadores","11":"tag-brote","12":"tag-cifradores","13":"tag-epidemia","14":"tag-noticias","15":"tag-petya","16":"tag-ransomware","17":"tag-troyanos","18":"tag-wannacry"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-ransomware-epidemics\/10732\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-ransomware-epidemics\/8698\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-ransomware-epidemics\/4712\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/new-ransomware-epidemics\/11710\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-ransomware-epidemics\/11249\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-ransomware-epidemics\/13581\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-ransomware-epidemics\/13641\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-ransomware-epidemics\/17855\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-ransomware-epidemics\/3319\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-ransomware-epidemics\/9226\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/new-ransomware-epidemics\/6963\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/new-ransomware-epidemics\/16631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-ransomware-epidemics\/17314\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-ransomware-epidemics\/17314\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/bloqueadores\/","name":"bloqueadores"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=10732"}],"version-history":[{"count":10,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10732\/revisions"}],"predecessor-version":[{"id":10758,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/10732\/revisions\/10758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/10735"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=10732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=10732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=10732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}