Lo que sabemos de #WannaCry

Desde hace una semana se ha mencionado mucho en portales sobre tecnología y seguridad digital la llegada de un nuevo malware llamado WannaCry. Este tipo de virus pertenece a una categoría llamada ransomware, la característica esencial de estos es que hacen un secuestro virtual de los documentos, que consiste en tomar todos los documentos de un dispositivo y cifrarlos uno por uno, luego borrar el archivo original haciendo imposible su recuperación, a menos que se tenga la contraseña para descifrar los archivos. A cambio de dar la contraseña los creadores de WannaCry piden el equivalente a US$300.00 en la moneda anónima Bitcoin[1].

Ademas WannaCry tiene una característica especial, la habilidad de autoreplicarse asi mismo. Usualmente WannaCry llega en un correo spam o atraves de links de descargas, al instalarse en un equipo WannaCry busca en la red local(oficina, casa, hotel, restaurante, etc.) equipos que tengan la vulnerabilidad EternalBlue[2], que utiliza una falla en protocolo de SMB1 contenida en todos los sistemas operativos de MS-Windos(Me, XP, Vista, 7, 8, 10).

Durante las primeras 48 horas de vida de este virus se sabía de al menos de 90mil equipos infectados, mayoritariamente en Europa. Dentro de estos equipos se encontraban equipos infectados en hospitales, estaciones de tren y aeropuertos, este ha sido uno de los motivos por los que se ha hecho tan famoso este virus.

Como protegerse.

Respaldar

Hay que recordar que este no ha sido ni será el ultimo ransomware que veamos, la mejor practica es mantener siempre un respaldo de toda nuestra información en un disco duro externo.

Actualizar

Es fundamental instalar las actualizaciones de seguridad para MS-Windows, tanto para prevenir el ataque de WannaCry como de cualquier otro malware. Ha sido tanto el impacto de este ransomware que Microsoft ha sacado actualizaciones de seguridad par versiones de windows que ya no tienen soporte actualmente(XP y Vista)[3].

Deshabilitar

Aun cuando se ha actualizado el sistema operativo, se recomienda deshabilitar el servicio smb1 que por defecto viene activado en todas las versiones de windows, los pasos son:

  1. Entrar al Panel de Control, alli ingresar en Programas
  2. Abrir las Características en la sección de Programas, click en activar/desactivar características de Windows.
  3. Buscar en la lista hasta encontrar SMB 1.0/CIFS File Sharing Support y desactivarlo.
  4. Click en Aceptar y reiniciar el equipo.

Antivirus

Siempre es importante tener un antivirus actualizado y registrado correctamente para evitar este tipo de amenazas, actualmente la gran mayoría de empresas de antivirus ya tienen bloqueos para WannaCry, sin embargo antivirus que hayan sido crackeados y no se actualicen no podrán detener esta amenaza ni ninguna otra.

Desconfiar de Correos, sitios y adjuntos extraños.

La gran parte de los virus se distribuyen por correos maliciosos atraves de técnicas como el phishing, sitios infectados y archivos adjuntos. Ante cualquier sospecha de este tipo de tecnicas una herramienta importante es virustotal en donde se pueden subir archivos o links sospechosos, virustotal cuenta con un motor de 60 antivirus que detallan si el sitio o el archivo contiene algún tipo de malware.

¿Pagar o no pagar?

Aunque WannaCry y otros ransomware ofrece desencriptar los archivos si se realiza el pago, en realidad no existe ninguna certeza de que esto ocurra, actualmente @actual_ransom monitorea las cuentas bitcoins de WannaCry, hasta el momento en que escribí este artículo se han realizado US$ en bitcoins. Sin embargo ninguna persona ha reportado que sus archivos hayan sido recuperados.

La recomendación es NO pagar, con esta acción garantizamos que quienes esten creando este tipo de malware no continuen invirtiendo tiempo y recursos desarrollando técnicas mas sofisticadas.

[1]https://es.wikipedia.org/wiki/Bitcoin

[2] https://en.wikipedia.org/wiki/EternalBlue

[3] https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.