#20 hua que jodido, entonces aunque quieran pagar bye bye archivos
#32 si, pero ahora como lee el hacker los supuestos emails con la clave que tienen que prooveer para la desencriptacion? tendrian que haber realizado esos pagos añadiendo esos datos en la transaccion
#33 Exacto, pero la gente eso no lo sabe, pagan, envian el mail y no recibirán respuesta alguna xD. Por eso dije nada más empezar, que el ramson es muuuuy cutre. Lo chulo que le ha salido es meter psexec para auto-propagarse, pero para nada es un ramson clomplejo o currado.
Es más, si consigues no reiniciar el PC tras la infección, puedes librarte del ramson ya que se encripta el MBR al reiniciar. Si apagas el PC, quitas el disco duro, lo conectas como secundario a otro PC, podráss lavar los datos sin perder información.
#34 Normalmente contestan y devuelven los ficheros. Para ello es un negocio, si un ramsom infecta a 1000 usuario y el primero que paga reporta que no le han desencriptado.... el 999 restante no pagarán y se le joderá el negocio.
#36 Sí, es un ramsom "cutre" a nivel de encriptación, pero tiene un sistema de spread (auto-propagación) bastante novedoso, de ahí su éxito. Si el ramsom tiene privilegios de admin sobre el PC:
- Modifica el MBR del disco duro, así al reiniciarse el PC arrancará una zona del disco con la copia del virus, infectará todo el disco. Eso ocurre al iniciar el PC tras tener el MBR modificado, asi apagas y no enciendes puedes salvar tus datos.
- Si el usuario no es admin entonces recorrerá todos los ficheros uno a uno y los encriptará, aquí, por el momento no hay solución. Pues el ramson utiliza 2 pares de llaves para encriptar.
#12 Puede usar un blanqueador de bitcoins 
Seguro que por la deepweb hay mas de uno, y por la normal mas todavia
Al parecer han encontrado otro kill-switch para detener la infección (no la propagación). Simplemente crear un fichero sin extensión con nombre C:\Windows\perfc
Según se informa, Petya todavía se distribuye por correo electrónico. Las víctimas recibirán un email personalizado que invita a leer una aparente carta o mensaje de negocios en el que un “aspirante” busca un puesto de trabajo en una empresa. Se presentaría a los usuarios con un hipervínculo a un lugar de almacenamiento de Dropbox, que supuestamente permitiría la descarga del currículum vitae (CV) del candidato.
En una de las muestras analizadas, en la carpeta de Dropbox los puntos de enlace contienen dos archivos: un archivo ejecutable autoextraíble, que pretende ser el CV, y las fotos del solicitante. Profundizando más, se ha encontrado que la foto es una imagen de stock que es muy probable que se utilice sin el permiso del fotógrafo. Por supuesto, detrás del Currículum se encuentra un troyano que ciega a los programas antivirus instalados antes de descargar (y ejecutar) el ransomware Petya.
#44 Te he quoteado ahi como podia quoterte cualquier otro post 
Cuando alguien es bueno en algo..., que se sale, que controla tanto que cualquiera a su lado no tiene nada que hacer, pues de ahi el "das todo el asco" 
#40 Ese kill switch bloquea la expansión mediante wmi/psexec pero no la de la ethernal blue, por lo tanto lo bueno sería tirar de ese kill switch + deshabilitar smb1 o parchear ms17-010.
Por cierto según he leído el archivo del kill switch debe estar en RO.
Esto es lo que estoy desplegando en mi empresa por si las moscas
@echo off
del %WINDIR%\perfc.* /f
echo > %WINDIR%\perfc
echo > %WINDIR%\perfc.dat
echo > %WINDIR%\perfc.dll
attrib +R %WINDIR%\perfc.*
#49 Sí, otra opción sería deshabilitar el recurso administrativo admin$, o directamente el WMI, ya que es posible que aparezca alguna variante sin la comprobación (killswitch) del fichero perfc. Ayer estuve como 2 horas destripando el virus y luego me di cuenta que era una versión antigua del ramsom xD, veré si puedo pillar una copia actual del virus, si alguien encuentra link que avise por aquí.
https://yadi.sk/d/QT0l_AYg3KXCqc
https://yadi.sk/d/S0-ZhPY53KWc84
https://yadi.sk/d/Zpkm88sp3KWc8v
https://yadi.sk/d/WemMDKVy3KXPcy
Archive password: virus
No hace falta decir que esto no lo ejecutéis si no tenéis un equipo laboratorio completamente aislado.
#51 Gracias, pero porque hay 4 versiones? Me molaría ir a tiro fijo y analizar la muestra más reciente/actualizada
#54 Ni idea, entiendo que deben ser mismas versiones pero subidas por gente distinta.
Las he sacado de aquí
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
Yo si fuese los ciberdelincuentes haria que saliese este mensaje cuando les encripto el pc:
Pero ojo,haciendo que si de verdad insertas el cd de W98 se desbloquease el PC. Y asi por una vez en la vida meter el cd de W98 valiese para algo.
#58 xD, estarías programando un killswitch, la gente en reddit lo detectaría y podrían detener tu infección de forma masiva, como ya ocurrió con wannacry y ahora con petya. Lo mejor es incluir ninguna comprobación/killswitch.
#57 Pero que incidencia tienen? Se os ha llegado a encriptar algún PC/Server? Si es así no hay nada que solucionar: format, re-install y si tenéis backup entonces meter un restore.
