Todo sobre el Ransomware: WannaCry (WanCry)

 

Como mucho ya saben, recientemente se ha registrado uno de los ataques de infección mas grandes de la historia, se trata del virus de tipo ransomware WannaCry, este virus se aprovecha de una vulnerabilidad en el sistema operativo Windows desde la version XP, la falla esta en el servicio SMB, este servicio permite la comunicación entre servidores y equipos con Linux a travez del servicio Samba, el virus utiliza una debilidad para distribuirse por toda la red.

Se han registrado ataques en casi todas partes del mundo, afectando mayormente a redes corporativas, empresariales e instituciones del estado. Como todos los ransomware, este también encripta todos los documentos del equipo infectado y luego genera una ventana donde se exige un pago de 300 bitcoins para recuperar los archivos. Al momento de escribir este articulo 1 bitcoins tiene el valor de USD$1,712.

Una de las primeras empresas en ser atacadas fue Telefónica, empresa de telecomunicaciones de España, según un comunicado de la empresa la infección no afecto sus servidores ni módulos del servicio al cliente, por lo que sus operaciones no se detuvieron, sus equipos internos tuvieron que ser apagados todos para que el departamento de seguridad realizara los procesos de limpieza en los equipos infectados.

Hasta el momento se conocen dos variantes de este virus, uno de ellos ya fue detenido porque hacia una validación a un dominio antes de iniciar la propagación, con solo registrar el dominio se detuvo la propagación de esta variante, aun queda la otra variante y sus ataques siguen activos y creciendo. Aquí puedes leer en detalle como se realizo la investigación para detener esta variante.

Microsoft en un comunicado a acusado a la NSA de ser la responsable del virus debido a que ellos fueron los que desarrollaron la falla del servicio SMB, recientemente la NSA fue hackeada y varios archivos fueron robados, se dice que en esos archivos robados estaba el exploit que permitió crear este ransomware.

La NSA por su parte niega cualquier tipo de responsabilidad e informa que según sus analistas estos ataques provienen de Corea del Norte, supuestamente la modalidad de este virus esta basado en otros ya conocidos, por lo que descartan que sea uno de sus exploits, dice la NSA. La cuestión es tirarle la pelota caliente a alguien -_-

Lo cierto es que, una falla es una falla, Microsoft debió de darle mayor publicidad y promoción a los parches, los mismos fueron liberados dos meses antes de que los ataques salieran a la luz.

La pregunta que surge es, porque hay tantos infectados (mas de 200mil equipos hasta el momento) si Microsoft ya habia liberado los parches? Simple, existe una mala practica de los administradores de sistemas y soportes técnicos, y es el de desactivar las actualizaciones automáticas de Windows porque consume mucho ancho de banda descargando actualizaciones que ellos entienden que no son necesarias (si, según ellos…) debido a esto es notable la gran cantidad de equipos que no cuentan con estas actualizaciones.

Algunas empresas financieras y de servicios suelen tomarse un poco mas de tiempo para aplicar esos parches debido a que deben hacer pruebas con las aplicaciones Core que utilizan y ver que conflictos pueden generar estas actualizaciones, al parecer el departamento de pruebas y sistemas le toma mucho tiempo hacer esas pruebas, porque como ya habíamos dicho, hace dos meses que Microsoft publico los parches.

A continuación algunas recomendaciones para evitar ser infectado por este ransomware:

  • Mantener actualizado su sistema Microsoft Windows, en caso de no pode aplicar el parche de seguridad, desactivar la funcion de SMB desde Agregar y quitar Caracteristicas de Windows, aqui te indica como hacerlo dependiendo de la versión de Windows.
  • Aplicar el parche de seguridad, aqui el link: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Utilizar el antivirus Microsoft Defender con las ultimas actualizaciones se protege de este malware.
  • No abrir enlaces de correos provenientes de remitentes desconocidos
  • No abrir bajo ninguna condición archivos terminados en .EXE provenientes de correo.
  • Realizar copias de seguridad de tus documentos constantemente, preferiblemente en la nube.

En caso de que ya hayas sido infectado con este virus la primera recomendación es que no se aplique el pago que exigen, el segundo paso seria desconectar el equipo del Internet y no conectarlo a ninguna red para evitar su propagación.

En la siguiente pagina pueden mantenerse actualizados sobre las soluciones liberadas para desbloquear los archivos: https://www.nomoreransom.org/

Aquí pueden ver en tiempo real los países afectados: https://intel.malwaretech.com/WannaCrypt.html

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *