Lo que necesita saber sobre WannaCry: Symantec

Compartir nota

El 12 de mayo pasado comenzó a propagarse una variante de la cepa Ransom.CryptXXX (WannaCry), un software de secuestro informático o ransomware, que afectó a un gran número de organizaciones, en particular en Europa, explicó Symantec.

Señaló que WannaCry cifra archivos de datos y pide al usuario que pague un rescate de USD 300 en bitcoins. La nota de rescate indica que el monto del pago se duplicará después de tres días. Si no se realiza el pago después de siete días, los archivos cifrados se eliminan.

El troyano también deja un archivo llamado !Please Read Me!.txt, que contiene el texto en el que se explica lo sucedido y la manera de pagar el rescate.

WannaCry cifra archivos que tienen las siguientes extensiones, y añade el sufijo .WCRY al final del nombre del archivo: .lay6; .sqlite3; .sqlitedb; .accdb; .java; .class; .mpeg; .djvu; .tiff; .backup; .vmdk; .sldm; .sldx; .potm; .potx; .ppam; .ppsx; .ppsm; .pptm; .xltm; .xltx; .xlsb; .xlsm; .dotx; .dotm; .docm; .docb; .jpeg; .onetoc2; .vsdx; .pptx; .xlsx, y .docx.

Se propaga a otras computadoras atacando una vulnerabilidad conocida en la ejecución de código remoto de la versión 2 del bloque de mensajes de servidor (SMBv2) en equipos con Microsoft Windows: MS17‑010

Según la firma en seguridad, los clientes de Symantec y de Norton están protegidos contra WannaCry mediante una combinación de varias tecnologías. Están disponibles las siguientes detecciones:

–Antivirus

Ransom.CryptXXX

Trojan.Gen.8!Cloud

Trojan.Gen.2

Ransom.Wannacry

–Sistema de prevención de intrusiones

21179 (Ataque al sistema operativo: ejecución de código remoto del SMB en Windows 3)

23737 (Ataque: actividad de descarga de shellcodes)

30018 (Ataque al SO: enlace de interfaz de administración remota del MSRPC)

23624 (Ataque al SO: ejecución de código remoto del SMB en Windows 2)

23862 (Ataque al SO: ejecución de código remoto del SMB en Windows)

30010 (Ataque al SO: ejecución de código remoto del SMB en Windows CVE‑2017‑0144)

22534 (Sistema infectado: actividad de carga útil maliciosa 9)

23875 (Ataque al SO: intento de divulgación del SMB de Microsoft MS17‑010)

29064 (Sistema infectado: actividad de Ransom.Ransom32)

Asimismo, recomendó a las organizaciones cerciorarse de tener instaladas las actualizaciones de seguridad más recientes de Windows, en particular la descrita en el boletín de seguridad MS17‑010, para evitar la propagación.

Añadió que WannaCry posee la capacidad de autopropagarse dentro de redes corporativas, sin intervención de los usuarios, atacando varias vulnerabilidades conocidas de Microsoft Windows. Las computadoras expuestas a la infección son las que no tienen instaladas las actualizaciones de seguridad más recientes de dicha plataforma.

También mencionó que por el momento no hay forma disponible de descifrar los archivos, pero dijo estar llevando a cabo investigaciones al respecto. En tal caso, la compañía no recomienda pagar el rescate, sino tratar de restaurar los archivos a partir de respaldos, cuando sea posible.

Mejores prácticas para protegerse contra el software de secuestro informático

–Tener actualizado el software de seguridad para protegerse contra esta amenaza.

–Mantener actualizados sistema operativo y demás programas. Las actualizaciones de software con frecuencia incluyen parches para corregir vulnerabilidades de seguridad recién descubiertas que podrían ser el blanco de los ataques de software de secuestro informático.

–Poner especial atención a los correos electrónicos inesperados, en particular si contienen enlaces y/o archivos adjuntos.

–Tener extrema cautela con cualquier archivo adjunto de correo electrónico en formato de Microsoft Office que le advierta habilitar las macros para ver su contenido. A menos que tenga plena certeza de que se trata de un correo electrónico genuino de un remitente confiable, no habilite las macros y elimine de inmediato el correo electrónico.

–Respaldar los datos importantes es la forma más efectiva y sencilla de combatir la infección de software de secuestro informático. Los atacantes se aprovechan de sus víctimas cifrando archivos valiosos y dejándolos inaccesibles. Las organizaciones deben asegurarse de que los respaldos estén debidamente protegidos, o almacenados sin conexión a la red, para que los atacantes no puedan eliminarlos.

–El uso de servicios en la nube puede ayudar a mitigar la infección por software de secuestro informático, pues muchos de ellos conservan versiones previas de los archivos, lo cual le permitirá “dar marcha atrás” y recuperar los archivos descifrados.

contactame@esemanal.mx

Compartir nota

Autor Redacción