¿Qué es el ransomware WannaCry, cómo funciona y cómo mantenerse a salvo?

WannaCry ransomware, también conocido por los nombres WannaCrypt, WanaCrypt0r o Wcrypt es un ransomware que se dirige a los sistemas operativos Windows. Descubierto el 12^th En mayo de 2017, WannaCrypt se utilizó en un gran ciberataque y desde entonces ha infectado a más de 230.000 PC con Windows en 150 países. ahora.

¿Qué es el ransomware WannaCry?

Los primeros éxitos de WannaCrypt incluyen el Servicio Nacional de Salud del Reino Unido, la empresa española de telecomunicaciones Telefónica y la empresa de logística FedEx. Tal fue la escala de la campaña de ransomware que causó caos en los hospitales del Reino Unido. Muchos de ellos tuvieron que cerrarse, lo que provocó el cierre de operaciones con poca antelación, mientras que el personal se vio obligado a usar lápiz y papel para su trabajo con sistemas bloqueados por Ransomware.

¿Cómo ingresa el ransomware WannaCry a su computadora?

Como se desprende de sus ataques en todo el mundo, WannaCrypt primero obtiene acceso al sistema informático a través de un adjunto de correo electrónico y a partir de entonces puede extenderse rápidamente a través de LAN. El ransomware puede cifrar el disco duro de su sistema e intenta explotar el Vulnerabilidad SMB para propagarse a computadoras aleatorias en Internet a través del puerto TCP y entre computadoras en la misma red.

Quién creó WannaCry

No hay informes confirmados sobre quién ha creado WannaCrypt, aunque WanaCrypt0r 2.0 parece ser el 2^{Dakota del Norte} intento realizado por sus autores. Su predecesor, Ransomware WeCry, fue descubierto en febrero de este año y exigió 0.1 Bitcoin para desbloquear.

Actualmente, los atacantes están utilizando el exploit de Microsoft Windows Azul eterno que supuestamente fue creado por la NSA. Según informes, estas herramientas han sido robadas y filtradas por un grupo llamado Corredores de la sombra.

¿Cómo se propaga WannaCry?

Este ransomware se propaga mediante el uso de una vulnerabilidad en las implementaciones de Server Message Block (SMB) en sistemas Windows. Este exploit se denomina EternalBlue que, según los informes, fue robada y utilizada indebidamente por un grupo llamado Corredores de la sombra.

Curiosamente, EternalBlue es un arma de piratería desarrollada por la NSA para obtener acceso y controlar las computadoras que ejecutan Microsoft Windows. Fue diseñado específicamente para que la unidad de inteligencia militar de Estados Unidos tenga acceso a las computadoras utilizadas por los terroristas.

WannaCrypt crea un vector de entrada en máquinas aún sin parchear incluso después de que la corrección estuvo disponible. WannaCrypt apunta a todas las versiones de Windows que no fueron parcheadas MS-17-010, que Microsoft lanzó en marzo de 2017 para Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 y Windows Server 2016.

El patrón de infección común incluye:

• Llegada a través de correos electrónicos de ingeniería social diseñados para engañar a los usuarios para que ejecuten el malware y activen la funcionalidad de propagación de gusanos con el exploit SMB. Los informes dicen que el malware se distribuye en un archivo de Microsoft Word infectado que se envía en un correo electrónico, disfrazado como una oferta de trabajo, una factura u otro documento relevante.
• Infección a través de la explotación de SMB cuando un equipo sin parche puede abordarse en otros equipos infectados

WannaCry es un gotero troyano

Exhibiendo propiedades que de un troyano cuentagotas, WannaCry, intenta conectar el dominio hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, utilizando la API InternetOpenUrlA ():

Sin embargo, si la conexión es exitosa, la amenaza no infecta más el sistema con ransomware ni intenta explotar otros sistemas para propagarse; simplemente detiene la ejecución. Solo cuando falla la conexión, el cuentagotas procede a eliminar el ransomware y crea un servicio en el sistema.

Por lo tanto, bloquear el dominio con firewall ya sea a nivel del ISP o de la red empresarial hará que el ransomware continúe propagando y encriptando archivos.

Así fue exactamente como un investigador de seguridad detuvo el brote de WannaCry Ransomware! Este investigador cree que el objetivo de esta verificación de dominio era que el ransomware verificara si se estaba ejecutando en un Sandbox. Sin embargo, otro investigador de seguridad consideró que la verificación del dominio no tiene en cuenta el proxy.

Cuando se ejecuta, WannaCrypt crea las siguientes claves de registro:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = "\ tasksche.exe"
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “"

Cambia el fondo de pantalla a un mensaje de rescate modificando la siguiente clave de registro:

• HKCU \ Panel de control \ Escritorio \ Fondo de pantalla: "\ @ [correo electrónico protegido] "

El rescate solicitado contra la clave de descifrado comienza con $ 300 Bitcoin que aumenta cada pocas horas.

Extensiones de archivo infectadas por WannaCrypt

WannaCrypt busca en toda la computadora cualquier archivo con cualquiera de las siguientes extensiones de nombre de archivo: .123, .jpeg , .rb , .602 , .jpg , .rtf , .Doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .clave , .sldm , .3g2 , .poner , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARCO , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .medio , .stc , .asm , .mkv , .std , .áspid , .mml , .sti , .avi , .mov , .stw , .respaldo , .mp3 , .suo , .bak , .mp4 , .svg , .murciélago , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .Mi d , .sxi , .C , .mi yo , .sxm , .cgm , .nef , .sxw , .clase , .odb , .alquitrán , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .pelea , .rsc , .onetoc2 , .TXT , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .p12 , .vdi , .aderezo , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .punto , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .sem1 , .dwg , .maceta , .semanas , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .Yo asi , .pst , .xlw , .frasco , .rar , .Código Postal , .Java , .crudo

Luego les cambia el nombre agregando ".WNCRY ”al nombre del archivo

WannaCry tiene una capacidad de propagación rápida

La funcionalidad de gusano en WannaCry le permite infectar máquinas Windows sin parchear en la red local. Al mismo tiempo, también ejecuta escaneos masivos en direcciones IP de Internet para encontrar e infectar otras PC vulnerables. Esta actividad da como resultado grandes datos de tráfico de SMB provenientes del host infectado, y el personal de SecOps puede rastrearlo fácilmente.

Una vez que WannaCry infecta con éxito una máquina vulnerable, la usa para saltar e infectar otras PC. El ciclo continúa, a medida que el enrutamiento de escaneo descubre computadoras sin parches.

Cómo protegerse contra WannaCry

1. Microsoft recomienda actualizar a Windows 10 ya que está equipado con las últimas funciones y mitigaciones proactivas.
2. Instala el actualización de seguridad MS17-010 lanzado por Microsoft. La compañía también ha lanzado parches de seguridad para versiones de Windows no compatibles como Windows XP, Windows Server 2003, etc.
3. Se recomienda a los usuarios de Windows que sean extremadamente cautelosos con el correo electrónico de phishing y que tengan mucho cuidado al abrir los archivos adjuntos del correo electrónico o haciendo clic en enlaces web.
4. Fabricar copias de seguridad y guárdalos de forma segura
5. Antivirus de Windows Defender detecta esta amenaza como Rescate: Win32 / WannaCrypt así que habilite y actualice y ejecute el Antivirus de Windows Defender para detectar este ransomware.
6. Hacer uso de algunos Herramientas Anti-WannaCry Ransomware.
7. EternalBlue Vulnerability Checker es una herramienta gratuita que verifica si su computadora con Windows es vulnerable a Exploit de EternalBlue.
8. Deshabilitar SMB1 con los pasos documentados en KB2696547.
9. Considere agregar una regla en su enrutador o firewall para bloquear el tráfico SMB entrante en el puerto 445
10. Los usuarios empresariales pueden utilizar Guardia del dispositivo para bloquear dispositivos y proporcionar seguridad basada en virtualización a nivel de kernel, permitiendo que solo se ejecuten aplicaciones confiables.

Para saber más sobre este tema, lea el blog de Technet.

Es posible que WannaCrypt se haya detenido por ahora, pero es posible que espere que una variante más nueva ataque más furiosamente, así que manténgase seguro y protegido.

Los clientes de Microsoft Azure pueden querer leer los consejos de Microsoft sobre cómo evitar la amenaza de ransomware WannaCrypt.

ACTUALIZAR: Los descifradores de WannaCry Ransomware están disponibles. En condiciones favorables, WannaKey y WanaKiwi, dos herramientas de descifrado pueden ayudar a descifrar los archivos cifrados de WannaCrypt o WannaCry Ransomware al recuperar la clave de cifrado utilizada por el ransomware.