Ransomware

Virus Wanna cry - Virus Locky

En esta nota técnica encontrarás información muy importante sobre recomendaciones de seguridad para ransomware o software maligno, así como algunas situaciones que se pueden presentar, debido a la presencia del virus Wanna cry  y virus Locky.

  • Qué es un Ransomware

Es un tipo de malware o software malicioso que perjudica a la computadora, evitando o limitando el acceso de los usuarios a sus sistemas e información; forzando a la víctima a pagar un rescate a través de un método de pago en línea, con la finalidad de obtener el acceso a su sistema o que les sea devuelta su información.​

98295f_19549be1ec6c462baf258e3d85e209d4

​​Algunos tipos de este malware cifran los archivos importantes del usuario y otros utilizan un servicio llamado TOR (The Onion Router), para ocultar comunicaciones de C&C (Command and Control), mediante las cuales toman el control del equipo comprometido desde sus servidores.

Las sumas demandadas varían mucho, y puede ser exigido en dólares americanos, euros, entre otras unidades monetarias o incluso en su equivalente en Bitcoins (moneda electrónica).

Nota: Es importante señalar que aun pagando la cantidad solicitada, no hay garantía de que el acceso a la información sea devuelto.

​​

  • Virus Wanna crywannacry-ransomware

Este virus es un tipo de ransomware que cifra los archivos del usuario y que recientemente atacó a miles de computadoras, especialmente en empresas y entidades, logrando secuestrar información y solicitando un rescate en pago de dinero electrónico (bitcoin).

  • ¿Cómo se  infectan los equipos?

      Las personas reciben un correo electrónico con un archivo adjunto, el cual abren desprevenidamente (puede ser una foto, un video o un archivo infectados) y le permite al programa malicioso activarse o tiene expuesto a internet la vulnerabilidad asociada con el SMB.

  • ¿Cómo funciona Wanna cry?

Wanna cry  encripta una gran cantidad de archivos, se pasa a otro equipo de la red de la empresa que sea vulnerable, siempre y cuando el equipo infectado tenga acceso a este último. También infecta memorias y discos duros extraíbles USB.

El virus usa el exploit ETERNALBLUE, cuya vulnerabilidad fue parchada por Microsoft en su securityupdate MS17-010 liberada el 14 de marzo.

  • Recomendaciones de seguridad para prevenir la propagación del virus Wanna cry

Es recomendable verificar la existencia del parche en el security update del sistemas operativo deMicrosoft Windows, por ejemplo, el correspondiente a Windows 7 sería KB4012212 o KB4012212.

Si las actualizaciones no están instaladas se pueden bajar del sitio oficial de Microsoft

        Para sistemas operativos antiguos (Windows XP, Windows Server 2003 R2), Microsoft liberó parches especiales.

Consulta la liga aquí.

Es necesario buscar las actualizaciones de Windows disponibles para nuestros equipos e instalar todas las actualizaciones de seguridad y sistema.

  • Firewall y Puertos Wanna cry

De acuerdo con reportes de empresas antivirus, Wanna cry  ingresa a través de puertos SMB (Server Message Block). Se pueden bloquear estos puertos con el Firewall ya que la mayoría de los usuarios  no los utiliza. Se recomienda cerrar los puertos 445, 135, 137, 138, 139.

  • Deshabilitar SMBv1

La vulnerabilidad puede ser cerrada completamente quitando la funcionalidad  de SMBv1.

Ejecuta el siguiente comando como Administrador en cada uno de tus equipos:
1. Ingresa a la línea de comandos de Windows, desde inicio teclea cmd.exe y presiona Enter.
2. Teclea la siguiente linea de comandos: 

dism /online /norestart /disable-feature /featurename:SMB1Protocol
Para mayor referencia consulta aquí información oficial de Microsoft.

Recomendaciones de Seguridad

  • Virus Locky

Este virus es una variante de ransomware 98295f_c84eaa00447a46288eb6289413b1718fque cifra los archivos del usuario, y que se ha propagado rápidamente desde su aparición a mediados de febrero de este año. El mayor riesgo radica en la fortaleza de su cifrado y principalmente en las campañas masivas de spam, así como los sitios comprometidos que se utilizan para su propagación. 

Como rasgo distintivo, locky  cifra los archivos del usuario y les agrega la extensión .locky

Más Información...