Cargando

Ir a contenido


 


Qué es Ransomware (WannaCry entre otros) y cómo protegerte

Conoce tipos de Ransomware (WannaCry, Wanna Decrypt0r 2.0, MBR, Winlocker, Jigsaw, Maktub etc. Cómo recuperar archivos y protegerte del ataque.


Escrito por el may 13 2017 19:48 seguridad virus auditoria



En un mundo donde cada vez nos encontramos más en línea (cada día con más fuerza) donde muchos de nosotros nos sentimos muy cómodos con la forma de poder llevar a cabo nuestras tareas cotidianas de forma digital. Debemos entender que todo esto está cambiando la vida de todos nosotros porque dependemos completamente de este mundo digital a todos los niveles como son empresarial, sistemas públicos básicos necesarios para cualquier país e incluso personales del hogar.

 

Para bien o para mal, tenemos que ser conscientes de los peligros que nos acechan, ya que por ejemplo hoy en día no es necesario ir a una oficina bancaria a realizar movimientos, sino que todo se hace a través de la plataforma de la entidad, ya no usamos servicios de correspondencia ya que usamos redes sociales, mensajes de chat y correo electrónico, estando 24h conectados a través de móviles y ordenadores.

 

Todo está interconecado a un clic de ser actualizado, para que las personas sepan qué, como o en donde estamos, entre otras funciones y tareas. Lo que no nos estamos preguntando es, ¿Qué tan seguros estamos en este mundo en línea?, la respuesta es simple, muy poco seguros.

 

La razón de esto es que así como crecen las opciones para realizar todo en línea, incluidas nuestras tareas diarias, también crecen mucho más los intrusos, ataques, virus informáticos etc. todos ellos son recibidos de diversas formas y en múltiples plataformas, donde aunque no tengamos millones de euros o dólares en nuestras cuentas bancarias o seamos reconocidos a nivel mundial, estamos propensos a ser atacados de diversas formas.

 

Es por ello que hoy en Solvetic nos centramos en explicar una de las amenazas que se encuentra en la boca de todos por sus ataques a nivel mundial, que aunque no es nueva como mucha gente piensa, está tomando un auge a pasos agigantados y a la cual debemos estar atentos con todos los cuidados necesarios.

 

Esta amenaza se llama Ransomware y esperemos que el momento de lectura de este artículo por tu parte no sea por haber caído ya en ella, sobre todo para que puedas protegerte un poco más, seas empresa o persona normal que quiere evitar lo más posible este y otro tipo similar de amenazas.

 

Nuestro objetivo es que cada usuario o empresa tomen las medidas necesarias para evitar ser víctima de este ataque y siempre ser responsables de todo lo que hacemos en la red.

 

Qué es Ransomware
De la misma forma que existe el secuestro de personas con fines económicos, en el mundo IT el ransomware se ha convertido en un ataque secuestrador de datos ya que este ataque básicamente accede a nuestro equipo, encripta toda la información y exige una determinada suma de dinero para su recuperación, así de sencillo.

 

El origen del nombre "Ransomware" viene de la combinación de dos palabras:

  • Ransom (Secuestro)
  • ware (Software)

 

Este ataque, también conocido como rogueware o scareware, ha estado afectando usuarios desde el año 2005. Aunque ha ido evolucionando apareciendo diferentes tipos, perfeccionando y encontrando debilidades donde poder propagarse con facilidad. Os dejamos un vídeo que os lo explica de forma excepcional para entenderlo a todos los niveles.

 

 

 

 

 

Cómo funciona Ransomware
Ransomware hace uso de una serie de pasos donde lamentablemente el primero lo da la víctima al ejecutarlo, estos pasos son:
  • Exploración del sistema a través de unidades USB, correos fraudulentos, etc.
  • Instalación en el sistema al ejecutarse el archivo infectado.
  • Selección de archivos a cifrar.
  • Cifrado de los datos seleccionados usando actualmente RSA de 2048 bits.
  • Mensajes a la víctima usando diversas alternativas desde correos hasta mensajes de voz
  • Espera del pago usando medios como bitcoins, MoneyPak, Ukash y cashU, entre otros.
  • Envío de las claves de cifrado a la víctima, pero esto no es 100% seguro. (Podemos decir que NO os lo van a enviar, no recomendamos pagar).

 

Como podemos observar, es una cadena que nosotros mismos podemos romper desde el principio. En el mundo de internet y digital debería serle enseñado a la gente que es mucho mejor siempre pensar mal y acertarás. Desconfía y no seas de los que abre alegremente cualquier adjunto recibido, o entrar en cualquier web e instalar sin dudar ni un momento cualquier programa.

 

 


1. Tipos de ataque Ransomware


Existen algunos tipos de este ataque conocidos a nivel mundial como lo son:

 

Ransomware WannaCry
Este es el Ransomware últimamente más conocido porque ha realizado ataques a muchos equipos de compañías y personas a nivel mundial. Es un Ransomware Criptográfico pero merece la pena catalogarlo al margen, ya que ha salido como sabéis en las noticias a nivel mundial, por ataques realizados en muchos países diferentes. Es importante comentar que esto no es nuevo como mucha gente piensa, ya que lleva tiempo cocinándose en muchos equipos. Podéis ver en la siguiente imagen donde se están realizando.

 

 

Hay muchos virus y ataques peligrosos en Internet, pero Ransomware WannaCry es uno de los peores.

 

Básicamente, podemos decir que lo consideramos de los peores porque te realiza un cifrado limpio de múltiples archivos de mucha importancia con un algoritmo y clave potentes, lo que hace muy difícil volverlos a tener. Además es importante señalar la facilidad de ejecución que posee para transmitirlo y ejecutarlo en todas las unidades de red.

 

Explicamos la criptografía al detalle, más algunas herramientas para cifrar información de forma gratuita y segura en Windows, Mac o Linux.

 

WannaCry Decryptor penetra en tu equipo, sobre todo por el correo electrónico, y al ejecutarlo sin darte cuenta te cifra la información. Lo grave es que una vez cifrados todos los archivos del equipo, se replica por red a otros servidores, equipos etc. Todo lo que tengas conectado en unidades de red podrá ser también cifrado. Por lo que es normal que una vez infectado un equipo, eso se propague a prácticamente todos los que estén en red.

 

Para su replicación aprovecha huecos de los sistemas, sobre todo en Windows. Por lo que es recomendable que los tengáis siempre actualizados con todos los parches, para evitar que sea tan fácil replicarse de un lado a otro.

 

Este comportamiento explica que sea recomendable desconectar los equipos para que no siga cifrando y propagando. Por ello, en caso de ser infectados internamente, lo primero que piden en las compañías de forma general es apagar y desconectar todos los equipos, todo ello para que no siga cifrando archivos y aumentando el problema. Deberán encontrar el origen y restaurar todos los equipos y servidores afectados.

 

El cifrado de tus archivos es una técnica muy demandada para proteger la privacidad de tus archivos más confidenciales. Este ataque utiliza los algoritmos de cifrado muy fuertes, que no se pueden romper si no se tiene la clave. Ahora más adelante entramos más a fondo en este tipo de Ransomware.

 

Ransomware criptográfico
Este tipo de ataque hace uso de algoritmos de nivel avanzado y su función principal consiste en bloquear archivos del sistema donde para acceder a ellos debemos pagar una suma, en ocasiones alta, de dinero.

 

Dentro de este tipo encontramos CryptoLocker, Locky, TorrentLocker, tambiénWannaCry etc.

 

Ransomware de MBR
Sabemos que el MBR (Master Boot Record) gestiona el arranque del sistema operativo y este tipo de ataque se encarga de modificar los valores de los sectores de arranque con el fin de evitar que el usuario pueda iniciar su sistema operativo de forma normal.

 

Winlocker
Este ataque está basado en SMS, mensajes de texto, mediante el cual exige el envío de un mensaje de texto a un sitio de pago con un código asignado con el fin de desbloquear los archivos.

 

Jigsaw
Este ataque se encarga de eliminar periódicamente archivos con la finalidad que la víctima sienta la presión de pagar el rescate para no perder más información valiosa.

 

Con este ataque cada hora se va eliminando un archivo del equipo hasta que el pago sea realizado, y, como detalle adicional pero no alentador, jigsaw elimina hasta mil archivos del sistema cada vez que el equipo se reinicia y accede al sistema operativo.

 

Kimcilware
Con este ataque estamos siendo víctimas del cifrado de datos en nuestros servidores web y para ello hace uso de las vulnerabilidades del servidor y así cifra bases de datos y archivos allí alojados estableciendo la no actividad del sitio web.

 

Maktub
Este es un ataque que se propaga a través de correos fraudulentos y comprime los archivos afectados antes de cifrarlos.

 

Su apariencia es de un archivo PDF o de texto, pero cuando es ejecutado, en segundo plano sin que estemos enterados se instala en el equipo y por lo general se exigen altas sumas de dinero por la recuperación de los datos.

 

SimpleLocker, Linux.Encoder.1 y KeRanger
Estos ataques cumplen su rol básicamente en dispositivos móviles y de PC con el fin de bloquear su contenido. Con SimpleLocker se afecta la tarjeta SD de los dispositivos Android cifrando archivos. Linux.Encoder.1 y KeRanger se encargan de cifrar datos en sistemas operativos Linux y Mac OS.

 

Cerber
Puede ser uno de los que más miedo de a los usuarios, sobre todo de sistemas Windows, ya que este ataque accede al audio del sistema operativo para emitir mensajes, y no propiamente de motivación o de las últimas novedades de Microsoft.

 

Este ataque genera un archivo VBS llamado “# DECRYPT MY FILES # .vbs” el cual está en 12 idiomas diferentes y emite mensajes amenazantes y solicitando pago por la recuperación de los datos.

 

Como veis, encontramos diversos tipos de ataques ransomware (Tener en cuenta que hay y habrá muchos más tipos) lo cual lo convierten en una amenaza latente y si aún no lo creemos veamos estos datos, seguirán subiendo de forma muy rápida:

  • En el mundo existen alrededor de 500.000 víctimas del ataque Cryptolocker.
  • Una organización en Sudamérica pago alrededor de USD 2500 para recuperar sus datos.
  • El 1.44% de los usuarios victimas de TorrentLocker ha pagado el rescate.
  • Se están produciendo ataques a nivel mundial con el tipo WannaCry donde lo recaudado hasta ahora dicen que está entre unos USD 7.500-25.000. (No pagues).

 

Cómo dijimos al principio, no recomendamos pagar este rescate por la clave de cifrado utilizada. No está 100% verificado que os la vayan a dar y al hacerlo tener en cuenta que estaréis fomentando que aparezcan más ciberdelincuentes al ver que hay "negocio" suculento para ellos. Además tener en cuenta que pueden existir ciertas soluciones más practicas que os explicamos en los siguientes apartados.

 

Hemos hablado del avance de la tecnología, pero ransomware también ha evolucionado, ya que hoy en día está el ataque PHP Ransomware o WannaCry Ransomware, los cuales cifran todos los datos importantes y en algunos casos sin pedir rescate o pago por los datos cifrados entre los cuales están los archivos con las siguientes extensiones:

 

zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso entre otras más que detallamos en los siguientes apartados.

 

Tener en cuenta que irán incrementándose o variando, y por ello no es bueno pensar que un determinado tipo de archivo está libre de ser "secuestrado".

 


2. Objetivo de Ransomware


Aunque muchos ataques de ransomware ocurren a nivel organizativo donde la información es mucho más delicada y confidencial, los atacantes que crean estos virus no ponen límite, también son un punto débil los usuarios de hogar por razones como:
  • No contar con aplicaciones de antivirus en sus sistemas operativos.
  • Contar con redes abiertas e inseguras.
  • No crear respaldos constantes de la información.
  • No actualizar el sistema operativo y las aplicaciones de seguridad de forma periódica.
  • Por el uso indebido de los servicios de internet.

 

Quizás no tengamos información valiosa, pero si somos víctimas del cifrado de nuestra información sin lugar a dudas seremos víctimas donde nos afectará para poder seguir de forma normal nuestras operaciones diarias como a nivel educativo, personal o empresarial.

 

De las empresas tampoco se han olvidado los creadores de ransomware, es más, son el objetivo número 1, ya que con ellas obtienen las siguientes ventajas:

  • Son donde más daño pueden hacer, con jugoso potencial económico para que paguen rescate.
  • Mayor desestabilidad al cifrar datos delicados de nómina, finanzas, RRHH, etc.
  • Posibilidad de afectar un mayor número de equipos y servicios.
  • Vulnerabilidades presentadas en los servidores o equipos cliente.
  • Desestabilizar puntos importantes de países, y sino creéis esto, mirar las últimas noticias donde han sido afectados Hospitales de Londres, empresas cómo Telefónica en España etc.

 

 

Podemos certificar que este es el nuevo formato de Guerra Mundial, no es disparando bombas pero puede ser igual o más doloroso de lo que imaginamos.

 

Técnicas para propagar Ransomware
Como hemos visto anteriormente existen diversos tipos de ataque ransomware y algunas de las técnicas empleadas para su propagación son:
  • Direccionamiento web a sitios falsos.
  • Mensajes de texto.
  • Vulnerabilidades encontradas a nivel de seguridad en servidores o equipos cliente.
  • Campañas de publicidad maliciosa.
  • Sitios web legales que poseen códigos maliciosos en su contenido.
  • Auto propagación entre dispositivos.

 

 


3. Recomendaciones para protegernos contra malware Ransomware


En vista que ransomware está tomando tanta fuerza y es muy sencillo ser victimas, existen una serie de opciones que nos ayudarán a estar atentos ante este tipo de ataques y evitar ser una víctima más. Algunos consejos son:

 

Realizar copias de seguridad
Podemos deciros que es lo más importante de ser realizado tanto en organizaciones, como a nivel personal. Tener copia de seguridad, nos salva de problemas no sólo de malware, virus y ataques, también nos protege de errores físicos del hardware que pueden ocurrir en discos, equipos, servidores etc. Por lo que copia de seguridad (backup) es necesaria y vital.

 

Es una solución a implementar de forma contante y de ser posible en discos y unidades externas, o bien tienes la opción (a nivel personal) de hacerlo en ubicaciones como la nube, Dropbox, OneDrive, etc, pero lo que más recomendamos son servidores o discos externos ya que así tendremos siempre la disponibilidad e integridad de los archivos.

 

Es importante comentaros que se debe tener en cuenta que este malware (gusano) Ransomware perfectamente ataca y cifra también en las unidades que tengas conectadas en ese momento, incluidas las de la nube, por ello recuerda desconectar esa conexión y no tenerlo siempre conectado si no lo estás usando.

 

Hemos visto como este ataque de Ransomware WannaCry (y otras versiones anteriores) realizarán un cifrado de conexiones en la nube de los ordenadores que fueron infectados. Se replicaron en las cuentas Dropbox, Google Drive o OneDrive, porque al estar conectadas como unidad de red perfectamente podía ver también estos archivos y por ende, ser cifrados y eliminados también. La parte buena es que dentro de estos sistemas tienes la posibilidad de recuperar también los datos, ya que una vez cifraron tus datos en la nube también eliminaron los archivos originales, por lo que si te han infectado en la nube, no te preocupes, es posible recuperarlos siguiendo este tutorial.

 

Si has eliminado algún archivo por error en Dropbox, OneDrive o Google Drive y quieres recuperarlo, te explicamos cómo

 

Os dejamos aquí las mejores formas para realizar backup, copias de seguridad en los diferentes sistemas que podemos tener. Tu información es lo primero, imagina lo que ocurriría en caso de perderla, si es importante, no dudes y realiza backup de forma frecuente.

 

 

 

 

 

Os dejamos más alternativas gratuitas de programas para realizar copia de seguridad en Windows, Linux o Mac.

 

Visualizar extensiones de los archivos
Es un aspecto fundamental ya que los archivos infectados son ejecutables,.exe, y están camuflados como archivos PDF, DOC, XLS, etc, de modo que al activar la opción de ver las extensiones sabremos si un archivo es Solvetic.pdf o Solvetic.pdf.exe (infectado).

 

Descubre estos sencillos pasos para cambiar la extensión de cualquier archivo en Windows 10 de diferentes formas.

 

 

No abrir correos sospechosos o no conocidos
Lamentablemente nos dejamos llevar por las apariencias y abrimos los correos electrónicos falsos de nuestra entidad bancaria, red social, facturas con adjuntos PDF o Excel con macros etc. y detrás de ello viene el archivo infectado.

 

Muchas veces recibimos mensajes de entidades oficiales indicando que tenemos problemas jurídicos, o de la entidad bancaria solicitando el ingreso de la información, otros indicando que tenemos mensajes de voz, etc, pero todo ellos poseen un adjunto que esperan demos clic para, en segundo plano, infectar el equipo.

 

Repetimos, mucho cuidado en los adjuntos que abrimos, por defecto siempre debéis desconfiar. A la más mínima duda, os recomendamos no abrirlo o bien comprobar esto antes de hacerlo:

  • Ver bien la dirección de correo del envío de forma completa del remitente (no sólo el nombre falso que ponen).
  • Ver el tipo y extensión de archivo adjunto. Aunque sea conocido el remitente puede haber sido infectado y lo reenvía el malware o virus de forma automática con su cuenta a toda su lista de contactos. (tú una posible víctima).
  • Ver bien el texto y asunto del mensaje antes de abrir.
  • Comprobar dirección IP de remitente y comprobar país de origen de esa dirección, introduciendo la dirección IP desde una web que geo-localiza de forma rápida y cómoda.

 

Si desconfías lo más mínimo no lo abras, mejor fallar de precavido y borrarlo que infectarse. Atento a los avisos de correo no deseado que puede darte tu gestor de correo electrónico.

 

 

 

Filtrar las extensiones .exe en el correo electrónico
En caso de contar con servidores de correo que permitan filtrar tipo de archivos es ideal que filtremos todos los correos que contengan extensión .exe ya que estas pueden ser archivos infectados para robar nuestra información personal.

 

Deshabilitar archivos ejecutados desde la ruta AppData o LocalAppData
Si usamos sistemas operativos Windows podemos crear reglas en el firewall y abrir o cerrar puertos que impidan la ejecución de programas desde la ruta AppData o LocalAppData ya que desde allí es uno de los sitios donde Cryptolocker, entre otros tipos de Ransomware, realizan la instalación de sus infecciones. Si eres administrador de sistemas Windows Server, puedes aplicar GPO en los firewall de todas las máquinas en red.

 

 

 

Mantén protegidos tus equipos y crea reglas de Firewall en tu Windows Server 2016 para aumentar su seguridad con este completo tutorial.

 

 

Actualización constante del sistema
Los desarrolladores de sistemas operativos y de los programas antivirus, antimalware y en general de seguridad, lanzan periódicamente nuevas actualizaciones que incluyen mejoras en fallas de seguridad y esto puede ayudarnos a evitar ser víctimas de ransomware.

 

Recordar que es necesario e importante actualizar el sistema operativo y también las aplicaciones de seguridad.

 

Si eres Administrador de sistemas y gestionas empresas con servidores Windows Server entre otros. Recuerda que puedes controlar las actualizaciones de todas los equipos de tu empresa a través del servidor con WSUS y forzarles a las que tu decidas poniendo horarios que os interesen para estar siempre actualizados.

 

Aprende a configurar el WSUS o Windows Server Update Service y aprueba o instala las actualizaciones que selecciones.

 

 

Usar programas de bloqueo de Add-Ons
Muchos sitios web maliciosos crean ventanas emergentes que requieren dar clic en ellas para poder cerrarlas y en este proceso, podemos encontrarnos ante la descarga e instalación de una amenaza latente de ransomware. Ya vienen integradas en la mayoría de navegadores y es posible activarlas en las opciones de seguridad.

 

El uso de estos programas evita que estas ventanas sean desplegadas y así adquirimos un nivel de seguridad en nuestros sistemas.

 

Deshabilitar RDP
RDP (Remote Desktop Protocol) permite la conectividad remota a otros equipos ya sea con el fin de prestar asistencia o soporte, pero Ransomware puede usar este protocolo, más específicamente Cryptolocker, WannaCry etc. para acceder a los equipos e infectarlos, de allí la importancia de evitar que esté habilitado este protocolo si no se usa.

 

En este tutorial aparece cómo habilitar RDP (Escritorio Remoto) en Windows 10, 8, 7. Simplemente seguir los pasos que explican ahí pero en la parte de marcar o desmarcar, dejarlo desactivado.

 

 

 

Desconectarnos de la red
En caso de ejecución de algún archivo sospechoso, no debemos esperar hasta que concluya el proceso de instalación ya que no sabemos que finalidad tendrá, en este caso lo más prudente y responsable es desconectarnos inmediatamente de la red, Wi-Fi o Ethernet, con el objetivo de impedir la comunicación con el servidor que puede introducir el virus.

 

Podemos directamente desactivar WiFi o quitar el cable RJ45 que tenemos conectado en el equipo.

 

 

 

Deshabilitar ejecución de Macros en Office
Esta es una de las formas más usadas por ransomware para infectar y ejecutarse. Si no eres de nivel avanzado donde uses macros en Microsoft Excel, Word, PowerPoint o Outlook (En equipos de empresas es mejor desactivarlas por defecto), recomendamos que las deshabilites.

 

Estas macros van insertadas dentro de un simple archivo .docx o .xlsx o correos donde al simplemente abrirlo puedes estar ejecutando este tipo de ransomware u otro tipo de malware o virus.

 

Sigue estos pasos para deshabilitarlas:

 

Aquí os dejamos más información Oficial de Microsoft de este tema y la gestión de configuración de seguridad de Office.

 

Bloqueo de puertos
Sabemos que los puertos en un sistema operativo permiten que haya o no comunicación entre el equipo local y la red externa.

 

Es una buena práctica, si administramos en especial servidores, bloquear los puertos:

  • UDP 137, 138
  • TCP 139, 445 o bien deshabilitar SMBv1.

 

En el siguiente enlace de Microsoft encontramos como realizar este proceso de forma segura:

 

 

 

Usar ShadowExplorer
El objetivo de Wanna Decryptor 2.0 es eliminar todas las instantáneas del sistema tan pronto se ejecute un archivo .exe después de la infección.

 

ShadowExplorer nos permite ocultar estas instantáneas del ataque de Wanna Decryptor y de este modo contar con un respaldo confiable en caso de ataque.

 

Esta herramienta puede ser descargada en el siguiente enlace:

 

 

 

 


4. Herramientas para proteger o recuperar archivos cifrados de Ransomware

 

 

Microsoft ha lanzado un comunicado sobre Ransom:Win32.WannaCrypt donde comenta que todos los usuarios que utilicen software antivirus gratuito de Windows o tengan el sistema de actualizaciones Windows Update activo y actualizados a la última versión, se encuentran protegidos.

 

Recomiendan que los que tengan un software anti-malware de cualquier otro proveedor, contactes con ellos para confirmar el estado de su protección.

 

Una cosa buena es que también desde Microsoft han puesto actualización de seguridad ante Ransomware WannaCrypt a disposición de todos los que tienen versiones sin soporte de Windows, como son Windows XP, Windows 8 y Windows Server 2003. Descarga e instala ya para protegerte!

 

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

 

Si quieres ver para otros sistemas como Windows Vista o Windows Server 2008, revisa este enlace del buscador de actualizaciones de seguridad Microsoft Windows. Verás que tiene de referencia este parche (KB4012598).

 

Aquí hay una guía oficial de Microsoft ante ataque ransomware WannaCrypt.

 

Además de todo esto, los desarrolladores de aplicaciones de seguridad nos ofrecen la posibilidad de descargar de forma gratuita múltiples herramientas que serán vitales para detectar o descifrar archivos encriptados, evidentemente no vale para todos los tipos de Ransomware, pero seguirán creciendo ya que los que protegen en seguridad IT también avanzan y ofrecen soluciones. Recordar que la forma más efectiva es restaurar los archivos que nos han encriptado de la copia de seguridad que tengamos realizada, pero os dejamos algunas herramientas publicadas para conseguir descifrarlo:

 

Aquí puedes ver algunas opciones de solución para descrifrar más tipos de Ransomware para recuperar tu información.

 

Cómo protección debemos tener en cuenta que los anti-malware son un básico que todos los ordenadores deberían tener a parte de un buen anti-virus. Cómo recomendación de herramientas anti-malware recomendamos:

 

También os dejamos anti-malware para Linux y Mac:

 

Cómo herramienta extra enfocada en la protección contra Ransomware WannaCry, recomendamos NoMoreCry Tool de CCN-CERT's tool porque permite prevenir la ejecución de Ransomware WannaCry.

 

Debemos darles las gracias a este gran aporte de CCN-CERT (CNI).

 

 

Esta herramienta funciona en todas las versiones de Windows y está disponible para ser usada por todas las empresas. Lo que realiza es crear un mutex (algoritmo de exclusión mutua) en el equipo donde la instalas e impide ejecución del código malicioso WannaCry 2.0.

 

CCN-CERT NoMoreCry Tool se encuentra en la nube de CCN-CERT, LORETO. Encontrarás un Script complementario que impide la ejecución del malware en ordenadores Windows (todas las versiones tanto inglés como español).

 

Simplemente descargamos el archivo NoMoreCry_mutex y NoMoreCry-v0.4.exe (irán actualizando versiones). Y deben estar en la misma carpeta ambos archivos.

 

Al ejecutarlo aparecerá el siguiente mensaje:

 

 

Recordar que cada vez que iniciáis sesión debéis volver a ejecutarlo. CCN-CERT indica que la herramienta debe ejecutarse después de cada reinicio. Por lo que recomendamos incluirla en el inicio de Windows (si es para alguien con ordenador de uso personal). Simplemente sería añadir esta herramienta con su acceso directo de ejecutable en la carpeta de los programas de inicio:

  • + R
  • Escribe: shell:startup y pulsa Enter.
  • Pega aquí el acceso directo de esta herramienta.

 

También lo tienes en .MSI para ponerlo en GPO. (Eso para los administradores de sistemas). Este proceso puede automatizarse también modificando el registro de Windows o mediante la implementación de las políticas GPO en el dominio.

 

Cómo recomendación final de herramientas de protección. Por supuesto tampoco olvidemos tener instalado un antivirus en los diferentes sistemas operativos que tengamos, en estos enlaces os ponemos los mejores de este año y encima gratuitos, sino te proteges es porque no quieres.

 

Las herramientas de seguridad tienen el objetivo de proteger nuestra información contra ransomware pero fundamentalmente está en nosotros el primer paso de protección porque siempre van a seguir apareciendo nuevos virus, troyanos, malware, ataques etc.

 

Recordar y hacemos de nuevo mención, que en la mayoría de estos ransomware después de haber encriptado tus archivos, también elimina el original, por lo que en caso de que no funcione ninguna técnica y hayas sido poco responsable donde no tengas copias de seguridad de tus datos, es posible intentar recuperar archivos borrados de tu equipo (una vez haya sido eliminado el ransomware como se explica en el siguiente capítulo más abajo).

 

Para ello recomendamos que tengáis a mano este otro tutorial con colección de programas gratuitos para recuperar archivos eliminados.

 

Os mostramos una colección con los mejores programas GRATIS para recuperar archivos borrados de nuestro ordenador.

 

 


5. Cómo eliminar y proteger ataque Ransomware WannaCry

 

 

WannaCry es uno de los últimos ransomware que han estado propagándose en el mundo y afecta tanto a organizaciones como a usuarios del común de los mortales cifrando sus datos y exigiendo sumas importantes de dinero. Hemos hablado mucho en este tutorial sobre este tipo de ransomware, pero en este apartado nos centramos en cómo poderlo eliminar una vez hemos sido infectados del mismo.

 

Si eres de los que de repente le aparece la ventana con el mensaje de arriba, es que estás infectado:

 

Mensaje Ransomware WannaCry (Inglés)

Ooops your files have been encripted!

 

What happened to My Computer?

 

Your important files are encripted.

 

Many of your documents, photos, vídeos, databases and other files are no longer accesible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without decryption service.

 

Can I recover My Files?

 

Sure. We guarantee that you can recover all your files safely and easily. (But you have not so enough time). You can try to decrypt some of your files for free. Try now by clicking <Decrypt>. If you want to decrypt all your files, you need to pay.

 

You only have 3 days to submit the payment. After that the price will be doubled. Also, if you dont pay in 7 days, you won´t be able to recover your files forever.

 

 

Mensaje Ransomware WannaCry (Español)

¡Ooops tus archivos se han encriptado!

 

¿Qué le pasó a Mi PC?

 

Sus archivos importantes están encriptados.

 

Muchos de sus documentos, fotos, vídeos, bases de datos y otros archivos ya no son accesibles porque han sido cifrados. Tal vez usted está ocupado buscando una manera de recuperar sus archivos, pero no pierda su tiempo. Nadie puede recuperar sus archivos sin el servicio de descifrado.

 

¿Puedo recuperar mis archivos?

 

Por supuesto. Le garantizamos que puede recuperar todos sus archivos de forma segura y sencilla. (Pero no tienes tiempo suficiente). Puede intentar descifrar algunos de sus archivos de forma gratuita. Pruebe ahora haciendo clic en <Decrypt>. Si desea descifrar todos sus archivos, tendrá que pagar.

 

Sólo tiene 3 días para enviar el pago. Después de eso el precio se duplicará. Además, si no paga en 7 días, no podrá recuperar sus archivos para siempre.

 

 

Si ves que en tu empresa o equipos tienen este ransomware, lo que tendrás que hacer es detener todos los equipos para que no sea replicado, ni siga cifrando más archivos. Desconecta los equipos de la red y toca revisarlos para detectar el origen.

 

Para eliminar este malware en un entorno Windows 10 realizaremos el siguiente proceso.

 

Atención
Si no eres de un nivel avanzado, lo mejor es que reinstales el sistema y restaurar tus datos de una copia de seguridad para asegurarte que no sigas estando infectado.

 

Paso 1

En primer lugar debemos acceder en modo seguro para evitar el inicio de algunos servicios y procesos, para consultar como acceder en modo seguro podremos ir al siguiente enlace:

 

Aquí tienes todas las formas para arrancar el modo seguro a prueba de fallos en Windows 10.

 

Paso 2

En segundo lugar debemos acceder al administrador de tareas dando clic derecho en la barra de tareas y seleccionando la opción correspondiente "Administrador de tareas".

 

Una vez allí vamos a la pestaña Procesos y debemos fijarnos en aquellos procesos que no nos parezcan normales, una vez visto daremos clic derecho sobre él y seleccionamos la opción "Abrir ubicación del archivo".

 

 

Este archivo podrá ser escaneado con nuestro software antivirus y/o antimalware porque ya conocemos la ruta y así salimos de dudas. Hasta este punto podremos determinar la integridad y confiabilidad del archivo.

 

En caso de no obtener resultados podemos ir al archivo hosts del sistema y allí comprobar si estamos siendo víctimas.

 

Para esto abrimos el menú Ejecutar: ( + R) e ingresamos la siguiente línea:

notepad %windir%/system32/Drivers/etc/hosts
Esto desplegará el archivo hosts. Si detectas que aparecen nuevas entradas en la parte inferior a direcciones IP externas que no sean 127.0.0.1 y no las conoces, tendrán pinta de haber sido añadidas por el gusano ransomware.

 

Paso 3

Adicional a esto podemos consultar que programas o aplicaciones están iniciando sesión en el arranque del sistema, ya que algún archivo infectado puede estar desde el arranque, para comprobar esto vamos a la pestaña Inicio en el Administrador de tareas y comprobar en detalle que aplicaciones inician con Windows 10:

 

Pasos para gestionar y desactivar los programas que se abren al iniciar tu ordenador.

 

En caso de ver algo anormal basta con seleccionarla y pulsar en el botón Deshabilitar. Te recomendamos ver el tutorial que os hemos puesto porque os enseña como gestionarlo.

 

Paso 4

Posteriormente accedemos al editor de registros de Windows 10 usando la combinación de teclas + R e ingresando el comando regedit.

 

Allí vamos a Edición / Buscar o usamos las teclas Ctrl + F y en la ventana desplegada buscaremos el nombre del ransomware:

 

 

Es importante tener en cuenta no eliminar registros ajenos al virus ya que afectaríamos la estabilidad del sistema. Debemos eliminar todos los registros del virus en las siguientes ubicaciones:

  • %AppData%
  • %LocalAppData%
  • %ProgramData%
  • %WinDir%
  • %Temp%

 

En este momento sería interesante poder ejecutar aplicaciones para analizar nuestro equipo. Recomendamos revisar el cuarto capítulo de dentro de este tutorial "Herramientas para proteger o recuperar archivos cifrados de Ransomware" ya que podemos encontrar herramientas que pueden ayudar a encontrar y solucionar este ataque. Debemos tener siempre en cuenta las recomendaciones comentadas para evitar caer en la trampa de un Ransomware.

 

Si eres de los que no han realizado copia de seguridad, ten en cuenta que puede ser posible la recuperación de datos eliminados, porque este malware primero encripta tus archivos y luego los va eliminando. Después de haber eliminado este ransomware, te recomendamos usar herramientas de recuperación de archivos borrados. Algunos los podrás recuperar.

 

 


6. Cómo eliminar y proteger ataque Ransomware Wanna Decryptor 2.0


A fecha 16/05/17, seguimos viendo muchas noticias sobre la propagación del ataque masivo de Ransomware con un virus llamado Wanna Decrypt0r 2.0 el cual se aloja en los equipos y también cifra la información usando una combinación de algoritmos RSA y AES-128-CBC donde de forma automática los archivos infectados, los cuales son encriptados, pasan a tener la extensión .WNCRY.

 

De modo que cuando se intenta acceder al equipo o a alguno de estos archivos recibiremos un mensaje no tan gratificante:

 

 

El objetivo de este ataque masivo es alcanzar el mayor número de víctimas y hasta ahora tenemos estas cifras:

  • Más de 150 países afectados.
  • Más de 200.000 personas atacadas en sus archivos.
  • Hasta el momento se han perdido más de USD 55.000 pagando “rescate” por sus archivos.

 

Lo peor de todo esto es que se teme que la amenaza siga creciendo. Cuando el virus afecta nuestros archivos podremos ver que estos, como hemos mencionado, están con la extensión .WNCRY:

 

 

Podemos ver que se crea un archivo de texto llamado @Please_Read_Me@ donde veremos las instrucciones dadas por el atacante:

 

 

Podremos ver lo siguiente:

 

 

Todo está dirigido a que paguemos la cuantía mínima, la cual es de USD 300 por recuperar nuestra información ya que la clave que nos permite descifrar los datos no se encuentra alojada de forma local sino que está en los servidores del atacante.

 

Este virus está atacando equipos con sistemas operativos Windows en todas sus versiones:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008 / 2012 / 2016

 

Solvetic desea analizar de manera profunda este tema para evitar que cada uno sea una víctima más de este ataque masivo a nivel mundial y es por ello que intentamos seguir detallando las variables que van apareciendo y algunas formas sobre como será posible eliminar esta amenaza de nuestro equipo.

 

Las recomendaciones ya fueron dadas de forma detallada en otros apartados más arriba de este manual, pero os indicamos las fundamentales.

  • Mantener nuestros sistemas operativos actualizados.
  • No abrir correos sospechosos.
  • Evitar descarga de elementos de sitios P2P.
  • Instalar herramientas de antivirus.
  • Si sospechamos de alguna actividad inusual debemos desconectar el equipo de la red de forma inmediata.

 

 

Como se propaga Wanna Decryptor 2.0

Esta es la pregunta básica que nos hacemos muchos usuarios ya que en términos generales somos cuidadosos con la información que manejamos o los sitios que visitamos. Bien, este virus se propaga masivamente, y como línea base, usando correos electrónicos.

 

Aunque hemos hablado mucho del tema, es común y no varía mucho el poder infectarse al ver en nuestra bandeja de correo no deseado diversas notificaciones como:

  • Notificaciones judiciales por alguna autoridad indicando que adjunto encontraremos la razón de la citación.
  • Mensajes de nuestras redes sociales indicando que tenemos nuevos mensajes.
  • Solicitud por parte de entidades financieras para que actualicemos información, etc.

 

 

Como saber si Wanna Decryptor 2.0 es Ransomware

La razón es muy sencilla, todo virus que impida el acceso normal a nuestra información o nuestro equipo y solicite cualquier suma de dinero para su acceso se cataloga como Ransomware.

 

Wanna Decryptor 2.0 ataca las siguientes extensiones modificándolas a la extensión .WNCRY. El objetivo fundamental de Wanna Decryptor es cifrar archivos importantes que son de gran utilidad para cada usuario o empresa como las siguientes:

  • Extensiones de aplicaciones ofimáticas: .ppt, .doc, .docx, .xlsx, .sx
  • Extensiones de aplicativos: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Extensiones de base de datos: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Extensiones de correo: .eml, .msg, .ost, .pst, .edb
  • Extensiones de desarrolladores: .php, .java, .cpp, .pas, .asm
  • Extensiones de certificados y claves de encriptación: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Extensiones de diseño grafico: vsd, .odg, .raw, .nef, .svg, .psd
  • Extensiones de maquinas virtuales: .vmx, .vmdk, .vdi

 

Como podemos observar, la amenaza es latente y amplia. Nos preocupan especialmente los que afectan a los servidores principales como pueden ser las extensiones de bases de datos, máquinas virtuales, archivos vitales de servidores como .php, .java etc. Eso puede ocasionar un parón quizás incluso más amplio que a los archivos más simples para restaurarlos como son xlsx, pdf, docx etc.

 

Repetimos que esto seguirá evolucionando y perfeccionando. Así que nunca infravaloremos su avance.

 

De modo detallado explicaremos que proceso ejecuta Wanna Decryptor 2.0 para tomar el control de nuestros archivos.

  • En primer lugar el virus escribe una carpeta con caracteres aleatorios en la ruta C:\ProgramData con el nombre tasksche.exe o bien en la ruta C:\Windows con el nombre de mssecsvc.exe y tasksche.exe.
  • Una vez escritas estas carpetas el virus otorgará control total a estos archivos ejecutando lo siguiente:
Icacls . /grant Everyone:F /T /C /Q
  • Luego usa el siguiente script para su ejecución: XXXXXXXXXXXXXX.bat (Cambia X por números y/o letras)
  • Utilizará sus hashes, o algoritmos de criptografía, de Wanna Decryptor 2.0. En este punto podemos usar herramientas como antivirus o antimalware para ubicar estos hashes y proceder con su eliminación del sistema.
  • Para tomar el control total Wanna Decryptor 2.0 usa servicios ocultos TOR con la extensión .onion de la siguiente forma:
jhdtgsenv2riucmf.onion
57g734jdhclojinas.onion
76jdd2ir2embyv43.onion
cwwnh33lz52maqm7.onion
De esta forma veremos como analiza todas nuestras unidades disponibles hasta encontrar las extensiones de archivos mencionadas y proceder con su encriptación y respectivo cobro. Cómo dijimos en otras versiones sobre si es posible descifrar los archivos encriptados por Wanna Decryptor 2.0... volvemos a deciros que la respuesta es no debido al nivel de encriptación usado en el proceso de AES-265 con un método de cifrado RSA el cual es completo y no existe ninguna herramienta, incluida de fuerza bruta, capaz de descifrar los datos.

 

Por lo que, nos vemos obligados como ya dijimos en otros apartados a recuperar la información de otras formas como son:

  • Recuperar la información que fue cifrada de copias de seguridad realizadas previamente.
  • Recuperar la información original que ha sido eliminada posteriormente a su cifrado por wanna decryptor 2.0. Cuando hemos sido atacados por Wanna Decryptor 2.0 este primero crea una copia de los archivos, luego los encripta y posteriormente elimina los originales tomando el control total. (Ver el apartado de herramientas de protección y recuperación de datos)
  • Usar Shadow Explorer previamente y tendremos protegida la posibilidad de rescatar los archivos eliminados de volúmenes (Tienes el enlace de descarga en el apartado de recomendaciones para protegerse de ransomware).

 

Cómo proceso de eliminación, seguir el patrón explicado anteriormente en el apartado de WannaCry, entrando en el modo seguro, revisando ciertas carpetas donde se aloja, eliminando de ejecución de servicios y programas en el inicio de Windows y analizando con la herramienta de antimalware que más te guste (MalwareBytes, Hitman Pro, Windows Defender Offline son varias de las muchas que tenemos disponibles para este escaneo).

 

Conoce los peligros que pueden atacar a tu ordenador sabiendo las diferencias entre el malware y un antivirus con Hitman pro y MalwareBytes

 

Te explicamos cómo puedes utilizar Windows Defender offline en el nuevo Windows 10 Creators Update.

 

Para finalizar, si quieres saber en tiempo real cual es el estado actual de Wanna Decryptor 2.0 y estar atentos del avance de este ataque con detalles como equipos y usuarios infectados, países donde se ha alojado el virus, entre otros, podemos ir al siguiente enlace:

 

 

Esto será lo que observemos:

 

 

Allí veremos el grafico con los respectivos sitios afectados, total de equipos afectados, etc. En la parte inferior veremos las gráficas de cómo ha ido en incremento este ataque a nivel mundial:

 

 

Os recomendamos seguir estos consejos y mantener al día copias de seguridad de la información más relevante.

 

Hemos comprobado cómo estamos en un mundo inseguro que puede afectar nuestra vida en cualquier momento, pero si somos precavidos y cuidadosos sin lugar a dudas no seremos una víctima más de ransomware ya que toda nuestra seguridad depende de nosotros.

 

Os dejamos a continuación más tutoriales y artículos sobre seguridad. Sólo os pedimos que compartáis este tutorial para poder estar todos en aviso y un poco más seguros ante las amenazas a las que estamos expuestos diariamente en el uso de Internet. Seguiremos realizando diariamente tutoriales para todos vosotros. Estar atentos en Solvetic de las soluciones de informática y tecnología, no solo de seguridad, sino de todos los campos y niveles.

 

No te pierdas esta colección de tutoriales de seguridad informática donde se explican multitud de temas y técnicas de este campo.

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado may 13 2017 19:48
  •   Actualizado may 21 2017 09:13
  •   Visitas 27.5K
  •   Nivel
    Avanzado



Tutoriales Relacionados


20 Comentarios


Pablo Meria
may 13 2017 21:28

La mejor explicación y mas completa con diferencia de este virus. Enhorabuena y gracias por este nivel de información. GRACIAS.


Marcos Riera
may 13 2017 21:30

+1 esto es muy bueno. Like dado. ;)

Gran artículo para conocer los tipos de ataques que existen y como podemos protegernos. Lectura recomendada 100%!!

Siempre sorprendiendo y al dia Solvetic. Buscaba los parches para Windows antiguos y no los veia. Gracias porque ahora si que duermo más tranquilo.

Conozco a dos que han caído en este virus. Buen aporte Solvetic. Ya lo he compartido a mis amigos.

La mejor explicación y mas completa con diferencia de este virus. Enhorabuena y gracias por este nivel de información. GRACIAS.


Opino igual, me ha servido de ayuda para entender bien como funciona un ransomwere, hay muchos que no lo explican ni la mitad de bien.

Enrique Martin
may 14 2017 20:19
Gracias Solvetic. Este ataque ransomware que es conocido como WannaCry, WannaCrypt, WCry  y WanaCrypt0r es el que encripta los archivos de los usuarios que infecta. Tener en cuenta que las extensiones de archivos que se han cfrado aparecerán como:
  • .wnry
  • .wcry
  • .wncry
  • .wncrypt
 
Este ataque ha explotado una vulnerabilidad de Windows, que se agradece los parches que ponéis enlaces para poder evitarlo. Este fallo (bug) esta en el servicio de bloque de mensajes servidor de Windows (SMB), estos son los que usan los equipos en Windows para compartir archivos e impresoras en redes locales.
 
De nuevo, gracias por esos enlaces Solvetic. No hay paginas que lo expliquen mejor que lo hacéis vosotros.

Mauricio Flores
may 15 2017 07:42
Excelente post, muy completo!

Solvetic Seguridad
may 15 2017 10:05

Gracias a todos vosotros por estos comentarios! Solo os pedimos que lo compartáis con vuestros amig@s para que puedan estar más protegidos ante estas amenazas.

 

Seguiremos explicando las cosas de forma real y práctica para todos los niveles en Solvetic!

Sólo cabe... :clap: :clap::clap: :clap:


Oscar Siro
may 15 2017 12:28

Sois la ostia Solvetic.


Carlos Garcia
may 15 2017 18:59

Las noticias no tienen ni pajolera idea, así da gusto verlo con vuestro enfoque. Entiendo bien este tema ahora. Gracias Solvetic, 

Gracias a todos vosotros por estos comentarios! Solo os pedimos que lo compartáis con vuestros amig@s para que puedan estar más protegidos ante estas amenazas.

 

Seguiremos explicando las cosas de forma real y práctica para todos los niveles en Solvetic!

 

Os sigo hace tiempo y esto sobrepasa el nivel. Aquí tenéis otro fan de Solvetic. No cambieis nunca!! 

 

Compartir esto es lo mínimo que tenemos que hacer para daros las gracias.

 

saludos.


Alice Sawn
may 15 2017 21:39

Lo primero que estoy haciendo es copia de seguridad en un USB externo. Esto es un aviso. muy buen articulo y tutorial recomendado.


Alberto Serrano
may 16 2017 12:51

En mi empresa os hacen la ola. (Yo el primero). Es el mejor artículo de este tema con diferencia y yendo a la parte práctica también. Gracias por compartirlo.


Ernesto Viu
may 16 2017 23:16

Esos enlaces de herramientas de análisis muy buenos, desconocía varios puntos de protección como el bloqueo de puertos o lo de activar Shadow Explorer, me ha parecido muy interesante. Os sigo en Facebook y Twitter.


Francisco Lara
may 17 2017 18:35

Compartido!! Le dais mil vueltas a los articulos que he visto incluso en inglés. Enhorabuena y thanks por darle más cache al habla hispana.

Gracias Solvetic, sois los mejores. Explicais muy bien todo lo que genera este virus y sus posibles soluciones muy buenas y yendo a lo práctico.

Este manual unido a este articulo que hicisteis hace poco, para mi es el must have que todos deberían tener cerca:

 

https://www.solvetic...ptar-ransomware

Gracias Solvetic, entretienen todos estos análisis. Son muy buenos tips.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse