Ayer conocíamos que algunas empresas españolas habían sido infectadas con un ransomware. Hoy, la noticia es que ya son 99 los países afectados, entre ellos, España, Portugal, Reino Unido, Rusia y Turquía y que se contabilizan 45.000 ataques.

Wannacry map

 

Hace meses que los expertos mostraban su preocupación frente al crecimiento de este tipo de ataques y su rentabilidad. Y es que, un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio durante un tiempo, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate.

Anton Ivanov, analista de seguridad, Kaspersky Lab afirma que “Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando. Hay muchos más objetivos potenciales de ransomware y las consecuencias de estos ataques son cada vez más desastrosas”.

Wanna Cry kaspersky

¿Quieres conocer cómo trabaja la versión de WannaCry que está sembrando el pánico a nivel global?

El ataque masivo de ransomware que ha afectado a varias organizaciones a nivel mundial afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red. El malware ha infectado al primer equipo a través de un archivo adjunto descargado, que ha aprovechado la vulnerabilidad de ejecución de comandos remota a través de SMB, y lo ha propagado por toda la flota de dispositivos.

Los sistemas aparentemente afectados son:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

 

Microsoft publicó la vulnerabilidad el pasado 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña. Por lo tanto, se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

Para los sistemas sin soporte o parche, como Windows XP, se recomienda aislar de la red o apagar según sea el caso.

Detalles técnicos:

El código dañino no está cifrado/empaquetado y se ha comprobado que lanza los siguientes comandos:

cmd.exe/c vssadmin delete shadows /all / quiet & wmic shadowcopy delete & bcdedit / set {default} 
bootstatuspolicy ignoreallfailures & bcdedit /set {default}  recoveryenabled no & wbadmin delete 
catalog -quietvs

El wallet para pagar es:

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Lista de archivos que cifra:

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot . 3ds .max .3dm .ods .ots .sxc .stc .dif .slk .
wb2 .odp .otp .sxd .std .uop .odg .otg .sxm . mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql . accdb .mdb .dbf .
odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat .ps1 .vbs .dip .dch .sch .brd .jsp .php .
asp .java .jar .class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .
wma .mid .m3u .m4u .djvu .svg .psd .nef .tiff .tif .cgm .raw .gif .png . bmp .jpg .jpeg .vcd .iso .backup .
zip .rar . tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg . vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp 
.snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf . csv .txt .vsdx .vsd .edb .eml .msg .ost .pst . potm .potx .
ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw . xlsb .xlsm .xlsx .xls .dotx .dotm .
dot .docm .docb .docx .doc

 

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

1 comentario

  1. creo que queda describir tambien el servicio de el antivirus de microsoft que escala privilegios y es capaz de introducirse en el disco duro del usuario e introducir todo tipo de archivos.mi consejo es temporalmente, usar otro tipo de antivirus.

    MsMpEng es el servicio de Protección contra Malware que está habilitado por defecto en Windows 8, 8.1, 10, Windows Server 2012 y posteriores. Además, Microsoft Security Essentials, System Center Endpoint Protection y otros productos de seguridad de Microsoft comparten el mismo core. MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

    MsMpEng utiliza un minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que basta con escribir cualquier contenido en cualquier lugar del disco (por ejemplo, caché, archivos temporales de Internet, descargas (incluso descargas no completadas),etc para acceder a la funcionalidad en mpengine, su componente principal responsable de la exploración y el análisis.

    una herramienta para prevencion de ransomware y ayuda al usuario seria :

    http://www.securitybydefault.com/2016/06/anti-ransom-v3.html

Deja un comentario