Declaracin de Kaspersky Lab acerca de los ataques del ransomware ExPetr registrados el 27 de

junio

Los analistas de Kaspersky Lab estn investigando la nueva ola de ataques de ransomware
dirigidos a organizaciones alrededor del mundo. Nuestros hallazgos preliminares sugieren que no
se trata de una variante del ransomware Petya, tal como se ha informado pblicamente, sino que
se trata de un nuevo ransomware que no se haba visto anteriormente. Pese a que cuenta con
varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos
nombrado ExPetr.

La informacin de telemetra de la empresa seala que alrededor de 2,000 usuarios han sido
atacados hasta el momento. Organizaciones en Rusia y Ucrania han sido las ms afectadas y
tambin hemos registrado ataques en Polonia, Italia, Reino Unido, Alemania, Francia, Estados
Unidos y varios pases ms.

Este parece ser un ataque complejo que involucra varios vectores de ataque. Podemos confirmar
que los criminales han utilizado exploits modificados de EternalBlue y EternalRomance para la
propagacin dentro de la red corporativa.

Kaspersky Lab detecta la amenaza como:

UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen

Nuestro motor de deteccin System Watcher detecta la amenaza como:

PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

En la mayora de los casos registrados hasta el momento, Kaspersky Lab detect proactivamente el
vector inicial de infeccin a travs de su motor de comportamiento System Watcher. Tambin
estamos trabajando en mejorar la deteccin de comportamiento anti-ransomware para identificar
proactivamente cualquier versin futura que pueda surgir.

Los expertos de Kaspersky Lab continan examinando este tema para determinar si es posible
descifrar la informacin bloqueada en el ataque, con la intencin de desarrollar una herramienta
de descifrado tan pronto como sea posible.
Recomendamos que todas las empresas actualicen su software de Windows: los usuarios de
Windows XP y Windows 7 pueden protegerse a s mismos instalando el parche de seguridad
MS17-010.

Tambin recomendamos a todas las organizaciones que se aseguren de tener la informacin

respaldada. El respaldo apropiado y oportuno de su informacin puede ser utilizado para
reestablecer los archivos originales despus de experimentar una prdida de informacin.

Tambin se recomienda a los clientes corporativos de Kaspersky Lab que:

Compruebe que todos los mecanismos de proteccin estn activados de acuerdo a las
recomendaciones; Y que los componentes KSN y System Watcher (habilitados de forma
predeterminada) no estn deshabilitados.
Como medida adicional, al utilizar el componente de Application Startup Control
(https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) de Kaspersky Endpoint
Security, puede evitar la ejecucin del archivo con el nombre Perfc.dat y bloquear la
ejecucin de la utilidad PSExec (parte de Sysinternals Suite).
Configure y habilite el mecanismo Default Deny, componente de Application Startup
Control de Kaspersky Endpoint Security, para garantizar la defensa de manera proactiva
contra este y otros ataques.

Si usted no cuenta con productos de Kaspersky Lab en su dispositivo, utilice la funcin AppLocker
de Windows OS para deshabilitar la ejecucin de cualquier archivo que porte el nombre
perfc.dat, as como la utilidad PSExec de la suite Sysinternals.