WannaCrypt es un ransomware, lo que significa que encriptará tus archivos y te pedirá que pagues para descifrarlos, en este caso en bitcoins. Es importante que entiendas que no hay garantía de que tus archivos serán descifrados, aunque pagues. Los primeros casos de este ataque fueron reportados en mayo de 2017 y aún están en curso, aunque la versión inicial fue detenida.
Se propaga utilizando una vulnerabilidad en el protocolo SMB de Windows, conocido como ETERNALBLUE, que se corrigió en marzo de 2017 (MS17-010). Esta vulnerabilidad sólo existe en las versiones de Windows 7 sin parches, Windows Server 2008 y versiones anteriores de Windows, como XP, Vista, etc.
La cantidad de computadoras que fueron afectadas por este ransomware es impresionante, esto demuestra que hay un gran número de usuarios y empresas que no actualizaron sus sistemas o estaban usando versiones anteriores de Windows.
¿Por qué WannaCrypt es tan peligroso?
A diferencia de otros ransomwares, WannaCrypt utiliza una vulnerabilidad de SMB, lo que significa que no necesita ninguna interacción con el usuario para infectar su computadora, haciendo de WannaCrypt un ransomware realmente amenazante. Mientras los ataques de WannaCrypt parecen haber parado, la verdad no podemos saber si otras versiones del malware saldrán a la superficie, con nuevos posibles métodos de propagación. Esta es la razón por la que es necesario corregir, actualizar y proteger cualquier sistema principal, lo más pronto posible.
¿Eres vulnerable?
WannaCrypt no se puede propagar a los equipos de Windows 10 mediante la vulnerabilidad ETERNALBLUE. Pero, ten en cuenta que la amenaza todavía está bajo investigación y sigue activa. Existe la posibilidad de que el atacante pueda modificar el malware y lanzar una nueva versión que podría incluir nuevas capacidades de propagación. Debes mantener siempre tu computadora protegida y actualizada, también debes tener cuidado con los correos electrónicos de phishing.
Si utilizas Windows 7, Windows Server 2008 o cualquier otra versión anterior de Windows, serás vulnerable si no aplicas la actualización MS17-010, y tienes una SMB expuesta. Si este es el caso, asegúrate de actualizar tus sistemas y proteger tus equipos lo antes posible.
¿Cómo puedes protegerte?
La mejor manera de protegerte es manteniendo tus sistemas actualizados. Una computadora actualizada no es vulnerable a los métodos actuales de propagación de WannaCrypt. Instalar la actualización MS17-010 o usar Windows 10 es la mejor manera de evitar este ataque.
Si estás utilizando una versión no compatible de Windows, como Windows XP, Vista o Windows Server 2003/2008, Microsoft lanzó un parche de emergencia (http://www.catalog.update.microsoft.com/Search.aspx?q= KB4012598).
- Realiza copias de seguridad: Asegúrate de tener una copia de todos tus archivos importantes en un disco duro separado o en la nube. En caso de que se infecten, puedes recuperar todos tus archivos sin pagar el rescate.
- Desactivar SMB: SMB1 está habilitado de forma predeterminada en Windows, pero puedes deshabilitarlo. La inhabilitación de SMB impedirá que WannaCrypt utilice ETERNABLUE e infecte tu computadora.
- Bloquear puertos SMB y usar un firewall: Si necesitas mantener SMB1 habilitado, puedes modificar sus configuraciones de firewall para bloquear el acceso a puertos SMB a través de Internet. Los puertos que se deben bloquear son: puertos TCP 137, 139 y 445, así como puertos UDP 137 y 138. Sin embargo, el método ideal para prevenir una infección es actualizar tu computadora con los últimos parches.
- Ten cuidado con los correos electrónicos de phishing: WannaCrypt se ha ralentizado, pero podría lanzar nuevas versiones, incluyendo nuevos métodos de propagación. Esta recomendación es válida para todas las situaciones similares.
Información técnica
WannaCrypt se creó con dos componentes principales:
- El propio ransomware, que cifrará tus archivos.
- El componente de propagación, que intentará explotar la vulnerabilidad SMB (ETERNALBLUE) en otros equipos de tu red para infectarlos con WannaCrypt.
Una vez infectado, el ransomware tratará de propagarse a otros equipos dentro de la red mediante la vulnerabilidad SMB. El programa enviará primero un paquete especial a un servidor SMBv1 y se ejecutará por sí mismo. También instala una puerta trasera llamada «DoublePulsar» que dará un gran ventaja de acceso al atacante.
Después de la fase de difusión, la parte de cifrado comienza por buscar extensiones de archivo específicas para cifrar, como doc, docx, xls, xlsx, bmp, zip, txt, png y otros. El malware luego los encripta y anexa .WNCRY al nombre de archivo. También crea un archivo llamado «@Porfavor_lee_Me@.txt» en todas las carpetas donde se cifran los archivos. Este archivo contiene el mensaje de rescate. Una vez completado el proceso de cifrado, WannaCrypt elimina las copias del volumen, reemplaza la imagen de fondo del escritorio y corre el ejecutable mostrando la nota de rescate. Durante ese proceso, será persistente añadiéndose en el registro como un proceso que se inicia cada vez que arranques la computadora.
El ransomware demostrará la capacidad de descifrado, al permitir el descifrado de unos pocos archivos aleatorios. Sin embargo, recuerda que nada garantiza que tus archivos se descifrarán, aunque pagues el rescate y nada garantiza que tu computadora no se infecte de nuevo, especialmente por la puerta trasera de DoublePulsar. Por ello es importante que consideres actualizar y proteger tu computadora.
El «Kill-Switch»
Como parte de su proceso, el malware intenta conectarse a los siguientes dominios:
- Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
- Ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Si esas solicitudes se conectan correctamente a esos dominios, WannaCrypt detiene su ejecución junto con el cifrado de tus archivos. Si bien esto es actualmente sólo una hipótesis, se cree que esas solicitudes estaban destinadas a ver si el malware se ejecutaba dentro de un «Sandbox», que es una configuración especial utilizada para analizar el malware de forma segura. Detener su ejecución dificulta el análisis. Por suerte, como parte de un proceso estándar durante el análisis del malware, un investigador conocido como «MalwareTech» registró aquellos dominios que tenían el efecto de hacer que el malware pensara que siempre estaba en un «Sandbox». Sin embargo, se han publicado nuevas versiones que no incluyen esas afirmaciones.
Si quieres mantener tu computadora segura, empieza a considerar todo las recomendaciones y optar por métodos para proteger tu equipo.
Neothek ofrece servicios de correo electrónico, web hosting, registro de dominios, certificados SSL, diseño de páginas web y diseño gráfico.