Si alguna vez se apaga el interruptor, el ransomware se activará de nuevo.
Ha pasado más de un año y medio desde el brote inicial, pero el ransomware WannaCry aún representa una amenaza importante para las empresas de todo el mundo. Los datos recientes muestran que cientos de miles de computadoras todavía están infectadas con el código malicioso, aunque actualmente está inactivo.
WannaCry está inactivo gracias al investigador de seguridad Marcus Hutchins de Kryptos Logic, quien encontró una linea de código en el ransomware que hacía referencia a un dominio web extraño. El dominio no estaba registrado, por lo que lo registró y resulto que activo el interruptor de desactivación o Kill-Switch de WannaCry.
WannaCry hace ping a una dirección web periódicamente. Mientras el dominio web esté activo y en ejecución, WannaCry no cifrará los archivos. Si cayera, el malware se activaría y comenzaría a causar problemas.
Kryptos Logic cedió el dominio a Cloudflare para alojarlo como medida de protección contra los ataques DDoS. Cloudflare también les da acceso a varias métricas de la dirección. El Jefe de Investigación de Inteligencia de Amenazas de Kryptos Logic, Jamie Hankins, recientemente tuiteó algunas de estas estadísticas.
Durante una semana, el dominio web interruptor de WannaCry recibió más de 17 millones de pings. Estos provienen de más de 630,000 direcciones IP únicas que se originan en 194 países diferentes. China, Indonesia y Vietnam son los tres primeros países en infecciones, y casi la mitad del tráfico al dominio proviene de estas regiones.
Mientras tanto WannaCry permanece inactivo por el momento, aunque que todo lo que tomaría para que el malware levantara su cabeza, es una interrupción del dominio web.
Intentare explicar su funcionamiento, para entender el porque? este aun sigue activo, pero dormido con un sueño controlado.
WannaCry es un ransomware, pero que entre sus principales características, incorpora técnicas de gusano (worm) para auto-propagarse utilizando un exploit EternalBlue, el cual le permite ir saltando en maquina por maquina dentro de una red de equipos que no tengan parchada esa vulnerabilidad en SMB.
Dentro del código de WannaCry, sus autores incluyeron una especie de “botón de apagado” que es el famoso “Kill-Switch”. Este no es mas que una función que hace un ping (consulta web) a un sitio web: “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”
Si el sitio no esta activo (como fue al principio) el ransomware comienza a cifrar todos los archivos del disco y luego mostrar su nota de rescate bloqueando la pantalla:
Ahora, si WannaCry encuentra que el sitio web esta activo, osea que este le responde un OK, no cifrara los archivos y solo se limitara a intentar saltar a otra computadora que este conectada a la red y no este parchado su SMB y así volver a preguntar por ese sitio web nuevamente… un proceso que repetirá casi a diario hasta o que se parche el equipo y se desinfecte correctamente.
Por eso la importancia de que ese sitio web de caracteres extraños, siempre este activo o se volvería a desatar WannaCry.
Aparte de las estadísticas generales que en la nota demuestran lo activo que continua WannaCry, otro dato interesante que encontré en base a las detecciones de Malwarebytes en los últimos meses, es encontrar a varios países de latinoamerica como Colombia, Brasil, Argentina, Bolivia, Peru, Mexico y Ecuador, entre otros, aunque India es el mas afectado a nivel mundial.
Aca en Argentina le decis a las empresas que tengan cuidado y que actualicen sus sistemas, y se lo toman a chiste, y aun utilizan XP o Windows 7 y no tienen actualizado… Luego andan llorando por algo que ellos pudieron prevenir
El nombre siempre fue tan cierto . . “wannacry” . . XD . . XD . .
. . es cierto pero aun son muy solidos si se es restrictivo en el firewall e imponiendo barreras extras como un prefiltrado por algun proxy remoto ó local . . tambien hay DNS que da servicio de filtrado . . y auunque tenga al dia el soft siempre los hay vivos por todas partes … cada año surgen miles vulnerabilidades y los parches llegan cuando el daño se ha hecho . . XD.
Por lo que si no se actualiza, se corre riesgo de infectarse o que por mas que se elimine de un equipo, este vuelva a aparecer nuevamente en otro. Pero como ahora no se cifran los archivos al estar el Kill-Switch activo… muchos pueden estar infectados y seguir contagiando a otros, sin siquiera saberlo.
Para las empresas siempre es mas complicado el tema de las actualizaciones y obviamente que hay de todo, desde negligencia (osea ganas de no hacerlo) altos costos (en muchos casos resetear los equipos implica un paro en la producción) equipos de TI cualificados a cargo (por lo gral o MS envía antes los parches a algunos o los prueban por un mes antes de implementarlos) o simplemente empresas mas chicas que o no saben de la importancia de un sistema actualizado o hasta tienen software pirate que no pueden actualizar.
Y si bien no seria escusa, recuerden que este fue el mayor ataque visto hasta la fecha en donde cayeron infectadas desde el gigante español Telefónica, NHS (el servicio nacional de salud del Reino Unido), El Banco Central Ruso, Deutsche Bahn (la compañía pública ferroviaria alemana), entre otros grandes como Renault, FedEx y mas.
saludos . . me encanta la charla por que me saca e muchas dudas
SMB Exploited: WannaCry Use of “EternalBlue” Server Message Block (SMB) is the transport protocol used by Windows machines for a wide variety of purposes such as file sharing , printer sharing , and access to remote Windows services. SMB operates over TCP ports 139 and 445.
. . por lo que yo digo que es buscador de agujeros en el firewall . . y que si no se utilizan varios puertos y servicios . . para que tenerlos abiertos y activos . . y mas en equipos viejos un puntos de venta apuntando aun filtro-proxy restringido a un puñado de direcciones . . no le veo oportunidad que se le introdusca el malvado gusano . . XD . . su opinion me importante.
Tal vez para otra cosa pueda servir, pero en este caso especifico del ransomware WannaCry / WannaCrypt, esa solución “es como poner rejas en una ventana y dormir con la puerta abierta”
Microsoft lanzó el parche de seguridad que corrige esta vulnerabilidad específica. Los que utilizan versiones compatibles del sistema operativo, como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 y Windows 10, recibieron la actualización de seguridad de forma automática.
Pero incluso para quienes tengan una licencia “dudosa” o su sistema operativo sea Windows XP, Windows 8 y Windows Server 2003 - Microsoft ofrece un parche gratuito que se puede, descargar: KB4012598 del sitio web del Catálogo de actualizaciones de Microsoft.
Gracias por segir con el tema por que me saca de muchas dudas . . me gustan las analogias por que hacen mas sencillo el tema y le da un toque comico XD . .
es cierto “las rejas de una casa no la hacen totalmente segura” … por mas reglas en el FW que se tenga y salidas-entradas filtradas esta siempre el factor humano . . “descargas de malware y alteracion en la configuracion” . .
. . siempre es bueno dar un poco mas . . llevo años sin poner nada actualizado a wxp . . . . y menos del mismisimo M$ . . XD . . aun asi siempre he sido fan de un firewall mas duro con los procesos que cruzan y los que salgan tengan un filtrado extra . . aun me deben un tutorial del firewall “duro de matar” . . XD . . gracias y finalizo
¿Que medidas se pueden usar para protegerse del ransomware, además de las ya evidentes? ¿Que me dicen de usar programas como ransombuster? ¿Puede contener la infección si se contrae? No tengo ransomware afortunadamente, pero si me causa curiosidad probar este software
saludos rupert24 . . . . . en wxp sigo vivo con cerrar puetos y servicios innecesarios
escanear descargar y memoria con un antivirus (cmd) filtrar ips y urls . . . en w10 no deberias preocuparte mucho . . a menos que seas de lo peor XD . . .
en mi caso en mi pc-w10 solo defender de fabrica . . XD . . soy paranoico y escaneo al mes con “AV Emsisoft cmd” y “ESETOnlineScanner” afortunadamente es raro que me salga algo . . . y mira que me aventuro en lugares oscuros y no paro de hacer descargas . . XD . . XD
oye ¿que me dices sobre tener ccleaner? aunque estoy feliz con el estoy considerando desinstalarlo dado que sospecho que tal vez sea la causa de que cortana no funcione bien, sospechó que del registro borró algo que no debía ser
eso desataría la catástrofe nuevamente 
SMB Exploited: WannaCry Use of “EternalBlue” Server Message Block (SMB) is the transport protocol used by Windows machines for a wide variety of purposes such as file sharing , printer sharing , and access to remote Windows services. SMB operates over TCP ports 139 and 445.
. . me gustan las analogias por que hacen mas sencillo el tema y le da un toque comico XD . .