Llegamos a 17.098.633 Millones de Visitas, gracias a ustedes!!

WannaCry

De WikicharliE
WannaCry
Bienvenido a Departamento de Sistemas e Informática de WikicharliE

Presentación

SecureList AO Kaspersky Lab.jpg

El WannaCry es un virus fragmento de 'software' que 'secuestra' los archivos de una computadora para posteriormente pedir su 'rescate' a los virnautas a cambio de una suma de dinero. Varias empresas, hospitales e incluso entidades gubernamentales paralizaron parcial o totalmente sus operaciones tras haber sido infectadas.

WikicharliE Patrimonio de Chile

Contenido

2017

Un ciberataque global con el virus 'extorsionador' WannaCry dejó unas 200.000 víctimas en al menos 150 países,de las cuales alrededor de 100.000 corresponden a organizaciones.

10 de marzo de 2017

La compañía Microsoft comenzó a lanzar parches de seguridad al día siguiente de conocerse el 10 de marzo de 2017, pero solo para las versiones con soporte posteriores a Windows Vista (y como un parche por separado para Windows 8, Server 2003 y XP12 ).

12 de mayo de 2017

El 12 de mayo de 2017 se registró una infección a gran escala que afectaba a las empresas Telefónica, Iberdrola y Gas Natural, entre otras compañías en España, así como al servicio de salud británico, como confirmó el Centro Nacional de Inteligencia. Posteriormente el software malicioso se extendió a otros países, volviéndose un ataque de escala mundial. Se han reportado al menos 74 objetivos alrededor del mundo que fueron atacados al mismo tiempo.

Los análisis previos sostienen que WannaCry usó la vulnerabilidad ETERNALBLUE, desarrollada por la Agencia de Seguridad Nacional estadounidense y filtrada por el grupo The Shadow Brokers, que permite atacar computadores con el sistema operativo Microsoft Windows. Dicha vulnerabilidad fue detectada en marzo en los sistemas operativos Windows.

14 de marzo de 2017

Los computadores del mundo empresarial que no habían aplicado las actualizaciones de seguridad del 14 de marzo de 2017 que incluían la solución al problema MS17-010 en el sistema operativo Windows quedaron gravemente afectados, con sus archivos codificados y apareciendo un mensaje en pantalla que exigía un rescate de 300 dólares en bitcoins a cambio de descodificar los archivos.

Origen

El caos informático en cuestión fue originado a causa de la difuminación del virus WannaCry, un fragmento de 'software' que 'secuestra' los archivos de una computadora para posteriormente pedir su 'rescate' a los usuarios a cambio de una suma de dinero.

Expertos han señalado que dicho programa malicioso fue desarrollado secretamente por la Agencia de Seguridad Nacional de EE.UU. (NSA, por sus siglas en inglés). Varias fábricas, hospitales, e incluso entidades gubernamentales han paralizado parcial o totalmente sus operaciones tras esta infección.

el director global del equipo de Investigación y Análisis del Laboratorio Kaspersky, Costin Raui, explicó en su cuenta de Twitter el pasado domingo tras analizar todas las nuevas versiones que estas operan bajo la lógica del comando de apagado interno. "No hemos detectado aún nuevas versiones sin interruptores de apagado", afirmó el especialista informático.

Qué hacer en caso de ciberataque

Cómo recuperar los datos cifrados: El Incibe, a través del CERT de Seguridad e Industria (CERTSI), dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware. La víctima puede contactar con el servicio a través del correo incidencias@certsi.es.

Pagar sirve para recuperar los archivos?

El Incibe[1] recomienda no pagar el rescate, porque no existen garantías de recuperar los datos y la víctima puede sufrir ataques posteriores. El Instituto también señala que esa práctica fomenta el negocio de los ciberdelicuentes, que pueden empezar a pedir cifras más altas, una vez efectuado el primer pago.

Cómo desinfectar el computador

Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados. El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.

Actualicen sus sistemas operativos ahora mismo!

El virus trabaja bajo la lógica de conexión a una página web no registrada como comando para su apagado. Tras el ataque un programador británico que estudió el virus logró detectarlo al detener a WannaCry. No obstante, el especialista informático y autor del blog MalwareTechBlog[2] afirmó: "Es muy importante que todo el mundo entienda que [los ciberdelincuentes] solo tienen que cambiar el código para volver a lanzar el ataque". "¡Actualicen sus sistemas operativos ahora mismo!"[3]

México el más se ha visto afectado

México es el país latinoamericano que más se ha visto afectado por el último ataque cibernético del virus WannaCry ocurrido el pasado 12 de mayo, según expertos de la compañía rusa de seguridad informática Kaspersky.

Los investigadores sostienen que México es el quinto país más afectado por el virus en el mundo, después de Rusia, Ucrania, China e India, informa RIA Novosti.

Puede infectar nuestro computador

Hay dos formas de plantearse esto. ¿Corre peligro de que lo infecte el virus WannaCry que ha sacado los colores a Telefónica, Renault y otras muchas compañías globales? No, seguramente no. A menos que seas un trabajador que ha usado su computador para conectarse a las redes internas de alguna de estas empresas, es muy difícil que esta variante del ransomware WannaCrypt llegue a tu dispositivo.

Ahora bien, ¿corre peligro el computador que tienes en casa, así en general? Sí, claro que sí, como cualquier dispositivo que se conecte a Internet. Es lo que tiene la actualidad tecnológica: si no se tiene cuidado y se pincha en enlaces sospechosos, no se actualiza el antivirus y no se actualiza Windows, MacOS o Linux.

Qué puedo hacer?

Tener un antivirus instalado, actualizar el sistema operativo de tu sistema y ser cauto con dónde se pincha al navegar por Internet.

Haz una copia de seguridad de tu computador de vez en cuando, quizá cada semana. Esto es una tarea que los computadores, especialmente los Mac, pueden hacer sólo y sin exigir mucho al computador. También se pueden configurar para que se hagan cuando no estás empleando el computador.

Hay multitud de programas para hacer esto en Windows, pero el propio sistema tiene formas de hacerlo por su cuenta si tienes la última versión, Windows 10.

En cualquiera de los dos casos, se necesita un disco duro externo de cierta capacidad y durabilidad, pues se están copiando archivos constantemente y fuera del computador. Pero si se mantienen copias de seguridad actualizadas y te pilla un virus muy agresivo, siempre puedes restaurar una versión de tu computador con un día o dos de antigüedad y librarte casi seguro de un disgusto.[4]

Paso a paso lo que ocurrio con elataque 'ransomware' mundial

El mismo viernes, mientras aún se corría la voz de que los computadores de decenas de hospitales en Reino Unido habían sido maliciosamente bloqueados a menos que se pagara un rescate por ello, un investigador anónimo conocido como MalwareTech ya se encontraba manos a la obra para frenar la propagación del programa malicioso.

Como informó él o ella en una fascinante actualización de blog, MalwareTech había encontrado un dominio sin registrar dentro del código de WannaCry. Al sospechar que la dirección tenía algo que ver con la manera en que se expandía el virus –una característica común en las botnets y otros tipos de programas malignos–, Malware Tech registró la dirección y observó cómo empezó a recibir el tráfico de miles de ordenadores infectados, lo que casi llega a saturar el servidor en el que se alojaba. Este tipo de medida de "socavón" o "desagüe" suele ser un intento de impedir que una botnet envíe, por ejemplo, comandos a los sistemas infectados. En este caso, sin embargo, el dominio se convirtió en un "botón de apagado": en cualquier sistema que entraba en contacto con la URL, el virus se desactivaba. WannaCry estaba en las últimas.

No obstante, y como señaló Malware Tech, programadores malintencionados podrían modificar con facilidad el código de WannaCry para que se redirija a una nueva dirección. Lo hicieron. El domingo, una nueva variante del programa infectaba miles de sistemas en Rusia. Un ataque que también se pudo frenar gracias a la rápida intervención de un investigador de ciberseguridad.

Mientras tanto, Microsoft tomó la inusual medida de apresurarse a distribuir un parche de software para solucionar el defecto de la versiones sin soporte de Windows de las que se aprovechaba WannaCry. Aunque la Agencia Nacional de Seguridad de EEUU (NSA, por sus siglas en inglés) había guardado en secreto la existencia de la vulnerabilidad, un grupo hacker conocido como Shadow Brokers lo había filtrado tras robar la información de los servidores de la agencia.

Desafortunadamente, como hemos señalado en otras ocasiones, el ransomware se ha convertido en una popular forma de cibercriminalidad por un sencillo motivo: resulta lucrativo. También es difícil, aunque no imposible, de detener. Además de los ataques del pasado fin de semana, los criminales ya habían deshabilitado en otra ocasión parte del sistema de transporte de la ciudad de San Francisco (EEUU) y un hospital en Los Ángeles (EEUU), el cual se vio obligado a pagar $11.333.333 pesos chilenos (17.000 dólares) para recuperar el acceso a sus registros. Los arquitectos de WannaCry buscaban, del mismo modo, enriquecerse con rapidez. Sin embargo, facilitaron bastante el rastreo del dinero: el código de WannaCry contenía las direcciones de tres carteras de Bitcoin. Para mediodía del lunes, un bot de Twitter que rastrea los pagos percibidos por las carteras informó de que las cuentas contenían en ese momento algo más del equivalente a $36 millones de pesos chilenos (55.000 dólares).

Gracias a este tipo de escrutinio, algunos expertos han supuesto que, sea quien sea la persona que está detrás de WannaCry, no se atreverá a retirar el dinero de las carteras por temor a descubrir su identidad. La propia suma también podría hacerle dudar. Claro que es mucho dinero, pero podría haber sido muchísimo más.

Quién está detrás de WannaCry?

Pese a las dificultades, las autoridades de distintos países han conseguido en el pasado identificar y arrestar a ciberdelincuentes que han llevado a cabo ataques parecidos. Los casos más recientes son los de dos ciudadanos rusos detenidos este año en Barcelona.

A uno de ellos, Pyotr Levashov, el FBI lo buscaba desde 2006. Está acusado de utilizar un robot informático con el que supuestamente era capaz de enviar cuatro billones de mensajes diarios con el fin de infectar computadoras con ransomware.

Al otro, Stanislav Lísov, se le acusa de cometer estafas bancarias.

"En China, Rusia, Ucrania, países del Este [de Europa], este tipo de delitos suele tener un mayor auge por varios motivos. Primero, porque la ley allí no penaliza los ciberdelitos como lo hace con los tradicionales".

"Además, hay gente con pocos recursos, pero muy lista y eso ha hecho que haya bastantes grupos de ciberdelincuentes que operen como una empresa normal, pero de manera no legítima".

Un solo autor

Por las características técnicas de WannaCry, el creador podría ser solo una persona. Pero el experto cree que el modelo de recaudación de los rescates elegido sugiere que se trataría de una banda organizada.

"Aún así, han hecho un ataque tan extenso... Si yo quiero ganar dinero, lo hago poco a poco. Área por área. Pero al ser tan masivo, puede indicar que se haya hecho para demostrar algo, su propio ego o lanzar un mensaje que diga 'Si en poco tiempo he podido hacer esto, imaginaros en un futuro y con más recursos", sostiene.

El ego es un factor clave en este tipo de prácticas, ya que ha hecho caer a muchos delincuentes: "A veces se ha encontrado a los autores porque por alarde, por sacar pecho o porque 'quiero que se vea cómo la he liado', ellos mismos confiesan".[5]

En Chile

De acuerdo a las cifras de la firma de seguridad Kaspersky, el virus, que hasta ahora ha arribado a 150 países, ha recaudado sólo 60 mil dólares por concepto de rescate de los archivos. De ellos se cuentan 230 transacciones (las veces que una persona natural o empresa ha pagado a los piratas informáticos).

Chile esta en el 5° lugar en Latinoamérica, tras Colombia, Ecuador, Brasil y México en el primer puesto. En el mundo, los países más afectados con Rusia, Taiwán, Ucrania e India, con Chile en el lugar 37°.

La herramienta Wanakiwi

¡Atención, si has sido infectado por WannaCry NO REINICIES la máquina! El famoso autor de Mimikatz, Benjamin Delpy‏ aka @gentilkiwi, ha publicado la herramienta Wanakiwi que es capaz de descifrar los archivos sin pagar el chantaje...

Hay un fallo en la cripto-API de Windows por el que si se obtienen de la memoria los números primos usados para calcular la clave privada esta puede volver a calcularse. Por eso es tan importante no apagar el equipo infectado, para no perder los datos de la memoria.

En principio el fallo parecía que estaba sólo en Windows XP, pero al parecer afecta a Windows 7 también:

"Después de realizar pruebas adicionales con Benjamin, nos dimos cuenta de que el leak de los números primos en el Crypt API de Microsoft todavía estaba presente en Windows 7. \o/"

Esto significa por lo tanto que la herramienta funcionará desde XP a 7, incluyendo Windows 2003 (x86 confirmado), Vista y 2008 y 2008 R2. Lamentablemente en las últimas versiones los números primos son borrados correctamente (CryptReleaseContext).

Anteriormente se publicó otra herramienta similar, Wannakey, pero requería una aplicación distinta para transformar esos bits en la clave secreta necesaria para descifrar los archivos. Wanakiwi parece más efectiva y ha sido validada por la Europol. Así que si no has reiniciado el equipo (o la memoria no ha sido sobrescrita) y no tienes la última versión de Windows todavía tienes una esperanza:

- Descarga wanakiwi aquí[6]. - Ejecuta wanakiwi.exe y automáticamente buscará el archivo 00000000.pky. Opcionalmente puedes indicar el PID (Process ID). Si no se indica, por defecto automáticamente buscará en wnry.exe o wcry.exe.[7]

шһатѕарр.com

Si se topa con un 'link' que le propone llegar a la página oficial de la aplicación de mensajería WhatsApp para cambiar su color, tenga mucho cuidado y fíjese en las letras de la dirección.

Wasap virus.jpg

De hecho, si pincha en el 'link', que presenta una sola letra diferente tomada del alfabeto cirílico —шһатѕарр.com— puede instalar un programa tipo 'adware' en su dispositivo. Al abrir el sitio este propone compartir el 'link' con sus amigos "para la verificación".

A continuación un amigo recibe un mensaje que reza "Me encantan los colores nuevos de WhatsApp" y el 'link' falso, propagándose así la amenaza.

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el emoticón

Léase en WikicharliE

Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas
Contacta a Orquesta Tabaco y Ron para Eventos y Matrimonios http://tabacoyron.cl/