Conecta con nosotros

Empresa Herramientas 2.0

Cómo actuar frente el ataque informático WannaCry

Gestión

Tipología de las sanciones que suelen recibir autónomos y pymes

Asociaciones Formación

Asinem alerta sobre el abandono de alumnos en el grado medio de FP

Gestión

La sostenibilidad corporativa avanza en España impulsada por el compromiso de las pymes

Gestión

6 de cada 10 empresas españolas ya cuenta con una persona o un departamento de sostenibilidad

Asociaciones Formación

Agremia impulsa la instalación de aerotermia en edificios de viviendas rehabilitados

Economía

El Reglamento de la UE contra la morosidad contempla por fin las sanciones a las empresas morosas

Economía

Afme apunta a una “desaceleración” de las ventas, aunque el crecimiento se mantiene al borde del 4 %

Asociaciones Formación

Fenie ayuda a favorecer el acceso de los alumnos de FP dual a obras de construcción

Economía

La Comisión Europea quiere obligar a las empresas a pagar a sus proveedores a 30 días

Empresa

Cómo actuar frente el ataque informático WannaCry

Publicado

hace 6 años

el

Por

Pantallazo de ordenador con virus wannacry

Seguramente ya hayas oído hablar del ataque cibernético que ha ocurrido a nivel mundial, pero que sigue afectando a todas las empresas y países durante esta semana y se espera que vaya a peor en las próximas semanas.

¿Qué es WannaCry?

Es un malware del tipo Ransomware que procede a un cifrado masivo de ficheros y solicita un rescate económico para que, en teoría, puedas recuperarlos. Digo en teoría, puesto que no sabemos de casos reales que hayan resuelto el problema pagando.

Se llama WannaCry (Quiero llorar, traducido del inglés) y su funcionamiento es bastante sencillo y dañino, tan solo se tienen que dar una serie de condiciones:

  1. Equipos Windows, prácticamente cualquier versión del sistema operativo.
  2. El sistema operativo no está actualizado con los parches de seguridad especificados en el Boletín de Seguridad de Microsoft MS17-10-Critical.
  3. No poseer antivirus o no tenerlo actualizado frente a la amenaza.

¿Cómo funciona?

El virus se distribuye por correo electrónico tipo SPAM, normalmente usa una marca conocida (Correos, El Corte Inglés, etc.) o el correo de algún proveedor (o desconocido) que está infectado, donde te remite una falsa factura que en realidad es un archivo ejecutable que contiene el virus.

Por lo que hemos podido investigar, el virus utiliza una vulnerabilidad del sistema Windows sobre SMB, por la que consigue cargarse en el sistema, copiarse además de crear entradas en el registro principal para permanecer en el sistema infestado, y en ese momento comprueba una dirección de internet (http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) y comprueba si responde o no, en caso negativo se inicia la encriptación de todos los archivos que cumplen un patrón (archivos de datos, JPG, GIF, PNG, DOC, XLS, DOCX, XLSX, PPTX, PPT, etc.), se intenta propagar, así como ejecuta un código para finalizar las aplicaciones de bases de datos, con lo que procede a cifrar los datos de las mismas, esto último genera un gran problema, y para acabar elimina las copias de seguridad del sistema.

El que se haya colocado un dominio y una condición para parar la actividad del exploit es una técnica común para evitar que se les vaya de las manos a los delincuentes, y con ello consiguen pararlo. En mi opinión, si con lo que ha pasado no consideraban que se les había ido de las manos, no quiero pensar lo que habría ocurrido para que lo activaran.

Captura de pantalla de la web que consulta el Malware WannaCry

Captura de pantalla de la web que consulta el Malware WannaCry

La clave que genera el malware es única y aleatoria para cada fichero, esto provoca que aunque consigas descifrar el primero de los archivos, sin la clave privada RSA utilizada para generar las claves, es prácticamente imposible descifrarlos.

¿Cómo lo cifra?

  • Lee el fichero original y lo copia añadiéndole la extensión .wnryt
  • Crea la clave AES de 128 bits aleatoria
  • Cifra el fichero con la clave aleatoria
  • Añade una cabecera al archivo con la clave AES cifrada con la clave pública RSA que lleva el malware
  • Sobreescribe el archivo original con la copia cifrada (este paso es clave para evitar que se pueda recuperar el documento con técnicas de recuperado de borrado)
  • Finalmente renombra el fichero con la extensión .wnry

¿Puedo pillarlo si no me ha llegado a mi ordenador?

Pues sí, si no estás protegido, puede que tengas problemas puesto que una parte de la algorítmica de propagación es generar direcciones IP aleatorias (todos tenemos una al conectarnos a Internet) y ver si puede infectar los sistemas que hay detrás de esas direcciones IPs.

No tengo el virus, ni estoy infectado, ¿Qué hago para protegerme?

No abrir ningún archivo extraño que provenga de direcciones desconocidas, asegúrate que el texto está bien escrito, normalmente los cyber criminales utilizan traductores y tienen grandes faltas de ortografía, y ante la duda, contacta con la persona que te haya mandado la “factura” en cuestión para comprobar que es una factura que te ha remitido realmente.

Además de eso, sigue estos pasos que son sencillos y te ahorrarán muchos problemas.

Estoy infectado, ¿Qué tengo que hacer?

  • En todas las máquinas de la red hay que instalar el parche de Microsoft, y evitar que siga aprovechando la vulnerabilidad.
  • Bloquea las conexiones entrantes a puertos 139 y 445 desde equipos externos a la red.
  • Elimina el servicio mssecsvc2.0
  • Elimina los archivos @Please_Read_Me@.txt y @WannaDecryptor@.exe
  • Utiliza un antivirus externo USB o por CD que analice el disco completo.
  • Apaga el sistema lo antes posible y si no te ves capaz de realizar estas tareas, contacta con un informático lo antes posible, para evitar que sigan existiendo problemas con el virus y que se vaya propagando.

 

Temas relacionados:
Continue Reading
Advertisement