Wannacry ransomware attack: 3 cosas cruciales para saber

Los ataques de ransomware, conocidos como WannaCry, fueron informados el viernes por expertos en seguridad cibernética en todo el mundo y se han emitido múltiples advertencias para implicar mayores medidas de seguridad en dispositivos conectados a la web, ya que se espera una segunda ola de ataques esta semana.

Los ataques de ransomware, un truco de hackers de una década, han afectado principalmente a Rusia, Ucrania, España, Reino Unido e India.

Otros países como Estados Unidos, Brasil, China, entre otros de América del Norte, América Latina, Europa y Asia han sido afectados por el ataque de ransomware.

El ransomware encripta archivos en un dispositivo usando la extensión '.wcry' y se inicia a través de una ejecución de código remoto SMBv2 (Server Message Block Version 2).

Lea también: ¿Qué es el ransomware y cómo protegerse contra él? y ¿Son los teléfonos inteligentes vulnerables al ataque WannaCry Ransomware?

El equipo de Investigación y Análisis Global de Kaspersky Lab señaló que 'las computadoras Windows sin parches que exponen sus servicios SMB pueden ser atacadas de forma remota' y 'esta vulnerabilidad parece ser el factor más significativo que causó el brote'.

Se informa que el grupo de piratas informáticos Shadow Brokers es responsable de hacer que el software malicioso para llevar a cabo este ataque esté disponible en Internet el 14 de abril.

¿Cuán extendido es el ataque?

Todavía se desconoce el impacto total de este ataque, ya que los expertos en seguridad cibernética esperan que olas adicionales del ataque afecten a más sistemas.

Según un informe del New York Times, el ataque ha tomado el control de más de 200, 000 computadoras en más de 150 países.

Las empresas y agencias gubernamentales, incluidos los ministerios rusos, FedEx, Deutsche Bahn (Alemania), Telefónica (España), Renault (francés), Qihoo (China) y el Servicio Nacional de Salud del Reino Unido se han visto afectados.

El equipo español de respuesta a emergencias informáticas (CCN-CERT) también ha pedido una alerta alta en el país, ya que dice que las organizaciones podrían haber sido afectadas por el ransomware.

"El software malicioso WannaCrypt se extendió rápidamente por todo el mundo y proviene de los exploits robados de la NSA en los EE. UU. Microsoft lanzó una actualización de seguridad para parchear esta vulnerabilidad, pero muchas computadoras permanecieron sin parchear a nivel mundial ", declaró Microsoft.

El siguiente software ha sido afectado hasta ahora:

• Windows Server 2008 para sistemas de 32 bits
• Windows Server 2008 para sistemas de 32 bits service pack 2
• Windows Server 2008 para sistemas basados ​​en Itanium
• Windows Server 2008 para sistemas basados ​​en Itanium service pack 2
• Windows Server 2008 para sistemas basados ​​en x64
• Windows Server 2008 para sistemas x64 Service Pack 2
• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista service pack 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition service pack 1
• Windows Vista x64 Edition service pack 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 y R2
• Windows 10
• Windows Server 2016

¿Cómo afecta a los sistemas?

El malware encripta archivos que contienen extensiones de oficina, archivos, archivos multimedia, bases de datos de correo electrónico y correos electrónicos, código fuente de desarrollador y archivos de proyecto, gráficos y archivos de imagen y mucho más.

También se instala una herramienta de descifrado junto con el malware que ayuda a hacer el rescate de $ 300 exigido en Bitcoins, así como descifrar los archivos una vez que se realiza el pago.

La herramienta de descifrado ejecuta dos temporizadores de cuenta regresiva: un temporizador de 3 días, después del cual se indica que aumentará el rescate y un temporizador de 7 días que indica la cantidad de tiempo restante antes de que los archivos se pierdan para siempre.

Dado que la herramienta de software tiene la capacidad de traducir su texto a varios idiomas, es evidente que el ataque está dirigido globalmente.

Para garantizar que el usuario encuentre la herramienta de descifrado, el malware también cambia el fondo de pantalla de la PC afectada.

¿Cómo mantenerse a salvo?

• Asegúrese de que la base de datos de su software antivirus esté actualizada y proteja su sistema en tiempo real y ejecute un análisis.
• Si se detecta el malware: Trojan.Win64.EquationDrug.gen, asegúrese de ponerlo en cuarentena y eliminarlo y reinicie el sistema.
• Si aún no lo ha hecho, se recomienda instalar el parche oficial de Microsoft, MS17-010, que mitiga la vulnerabilidad de SMB que se explota en el ataque.
• También puede deshabilitar el SMB en su computadora usando esta guía de Microsoft.
• Las organizaciones pueden aislar los puertos de comunicación 137 y 138 UDP y los puertos 139 y 445 TCP.

Los sistemas con sede en EE. UU. Se aseguraron accidentalmente

Un investigador de seguridad británico de 22 años bloqueó accidentalmente el malware que se propagaba a las redes en los EE. UU. Cuando compró el dominio de interrupción de eliminación del malware que aún no estaba registrado.

Tan pronto como el sitio estuvo en vivo, el ataque se cerró. Puede leer su informe completo aquí sobre cómo dio a conocer el interruptor de apagado para el malware y, finalmente, lo apagó.

Lea también: Esta falla crítica de seguridad de Android permanece sin corregir por Google.

“Ya ha habido otra variante del ransomware que no tiene un interruptor de apagado, lo que dificulta su contención. Ya ha comenzado a infectar países en Europa ”, dijo Sharda Tickoo, responsable técnico de Trend Micro India.

Todavía no está claro quién es responsable del ataque y las especulaciones apuntan a Shadow Brokers, que también son responsables de liberar el malware en línea, o a varias organizaciones de piratería.

Mire el video de GT Hindi para Wannacry / Wannacrypt Ransomware a continuación.