Nuestro nuevo enemigo, WannaCry

El pasado 12 de Mayo de 2017 se dio aviso al mundo de una infección que afectó a importantes instituciones y empresas de Europa y Asia. El origen de este ciberataque tuvo su foco en Rusia y Taiwan, siguiendo por España, Japón, Italia, Alemania, Inglaterra y la lista se extiende a más de 70 países.

Mapa de infecciones horas después de inciado el ciberataque.

WannaCry (también conocido como WCry) es el nombre que más suena por estos días y por el que se conoce a este ransomware, su misión es cifrar todos los datos mediante un algoritmo AES (Advanced Encryption Standard) para bloquear el acceso a estos y a cambio de su recuperación pedir un rescate de aproximadamente USD 300, en Bitcoins (unos 0.12 BTC en la actualidad) para liberar el sistema.

La Vulnerabilidad

Microsoft descubre un problema de seguridad “crítico” en el protocolo para transferencias en red SMB. El día 14 de Marzo, publican una actualización acumulativa que incluye el parche para corregir este problema.

Imagen de como luce WannaCry.

El 12 de Mayo, WannaCry es activado usando la vulnerabilidad anteriormente comentada para copiarse de computadora en computadora, infectando a miles de equipos que todavía no habían aplicado la actualización de sistema publicada hacia dos meses por Microsoft.

Formas de propagación

Los medios de propagación de WCry son variados pero en la gran mayoría de los casos se lleva a cabo mediante correo spam: falsos recibos, ofertas de trabajo dudosas, entre algunos de los temas que eligen los ciberdelincuentes para obtener la atención de las víctimas. Cuando éstas abren dicho correo y descargan el archivo adjunto, lo que están descargando es un código malicioso que se aprovecha de una vulnerabilidad del sistema operativo y se instala silenciosamente en su computadora para posteriormente quedar infectados del virus. Esto no termina ahí, ya que desde la computadora infectada el virus rastrea la red LAN buscando equipos con la misma vulnerabilidad (MS17–10) para que la infección se propague.

“Es un ransomware que cifra los datos de las victimas y a cambio de su recuperación exige un rescate”

Evitando WCry

Si bien ya se encontró el mecanismo que desactivó la amenaza, se recomienda enfáticamente:

# Actualizar Windows con los últimos parches de seguridad.

# Instalar herramientas antimalware/antivirus.

# Tener siempre activado un firewall.

# Ser cuidadosos al abrir archivos adjuntos, aunque sea de algún contacto conocido.

# Tener copias de seguridad fuera de nuestra computadora, ya que si la misma se infecta, también se verían afectadas las copias.

“Los medios de propagación son variados pero en la gran mayoría de los casos se lleva a cabo mediante correo spam”

WannaCry está en mi computadora, ¿qué hago?

WanaKiwi en acción

Si bien los datos afectados son, prácticamente indescifrables sin la clave de encriptación, pagar el rescate para que nos provean de dicha clave no es garantía.

Si estás infectado, no reinicies tu computadora y aplica Wanakiwi de inmediato. Con esta aplicación es posible recuperar algunos de los datos afectados en sistemas operativos como Windows XP, Windows 7 y posiblemente algunas versiones de Windows Server cómo 2003 y 2008.

Ante cualquier duda o situación sobre seguridad informática, comuníquese el equipo de Global Softworks y responderemos su consulta a la brevedad.