Apreciados usuarios, les informamos que  recibimos informes sobre una nueva ola de ataques de ransomware que se extendían por todo el mundo. Nuestros hallazgos preliminares sugieren que no se trata de una variante del ransomware Petya, tal como se ha informado públicamente, sino que se trata de un nuevo ransomware que no se había visto anteriormente. Pese a que cuenta con varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos nombrado ExPetr.

Las soluciones de Kaspersky Lab detienen con éxito el ataque a través del componente System Watcher. Esta tecnología protege contra ataques de ransomware mediante el monitoreo de cambios en el sistema y el rechazo de cualquier acción potencialmente destructiva.

Recomendamos:

•  Que todas las empresas actualicen su software de Windows: los usuarios de Windows XP y Windows 7 pueden protegerse a sí mismos instalando el parche de seguridad MS17-010.

•  Asegurarse de tener la información respaldada. El respaldo apropiado y oportuno de su información puede ser utilizado para reestablecer los archivos originales después de experimentar una pérdida de información.

A los clientes corporativos de Kaspersky Lab les recomendamos:

• Comprobar que todos los mecanismos de protección estén activados de acuerdo a las recomendaciones; Y que los componentes KSN y System Watcher (habilitados de forma predeterminada) no están deshabilitados.

• Utilizar el  Application Privilege control para denegar cualquier acceso (y por lo tanto la posibilidad de interacción o ejecución) a todos los grupos de aplicaciones al archivo con el nombre “perfc.dat” y la utilidad PSexec (parte de Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm  y http://support.kaspersky.com/10905#block1)

• Alternativamente, puede utilizar el Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) componente de Kaspersky Endpoint Security para bloquear la ejecución de la utilidad PSExec (parte de Sysinternals Suite), pero por favor utilice Application Privilege Control para bloquear “perfc.dat”.

• Configure y habilite el mecanismo Default Deny del componente de Application Startup Control de Kaspersky Endpoint Security, para garantizar la defensa de manera proactiva contra este y otros ataques.

Si usted no cuenta con productos de Kaspersky Lab en su entorno, utilice la función AppLocker de Windows OS para deshabilitar la ejecución de cualquier archivo que porte el nombre “perfc.dat”, así como la utilidad PSExec de la suite Sysinternals. Y también podrá usted descargar la herramienta anti-ramsoware gratuita de Kaspersky Lab con tecnología que permite detectar y bloquear ransomware – https://go.kaspersky.com/Anti-ransomware-tool.html