Really, Do you wanna cry?

¿Qué está ocurriendo estos días?

No hay duda que WannaCry/WannaCrypt y derivados llevan de cabeza el mundo de la informática desde que se destapó su entrada en la central de Telefónica y varios hospitales de UK el pasado viernes (12.5.2017).

Nunca se habia hecho tanto eco de una noticia de la afección de un malware, pero hacía tiempo que no veíamos una infección a esta escala (Blaster y ILoveYou eran los mas recordados pero no habia la saturación informativa actual).

Los comienzos de la repercusión del ataque.

Entrar en Telefónica no es baladí, el gigante de las telecomunicaciones cuenta en su haber con un excelente equipo de Informática liderado por Chema Alonso, que los propios empleados de la compañía hayan confirmado que desde la dirección le pedían apagar sus máquinas y que no tendrían plena seguridad hasta hoy miércoles era una noticia que nos llamó la atención y mucho; pasamos de un ransomware detectado y muy visto pero no difundido a este nivel como el Cryptolocker a tener en todos los medios el mismo viernes a WannaCry sobre la mesa. ¿Los atacados? Telefónica, Petro China, NHS, Nissan, FedEx, el Ministerio del Interior de Rusia, Universidades... además de PyMEs y usuarios particulares.

Lo siguiente fue comprender que no había sido un ataque dirigido... la verdad, es que no es un ataque dirigido para nada, es una lluvia de código que secuestra tus archivos lanzada en la red, y al que le caiga mala suerte, nadie estaba a salvo.

Así como tampoco está claro de donde viene... incluso en la Deep Web hay kits a la venta que posibilitan la creación de este tipo de malware.

La NSA...

Pero ¿de dónde sale el exploit? Pues lo desarrolló la NSA, luego de su filtración por parte de Shadow Brokers en Wikileaks, Microsoft lo parcheó el 14 de Marzo de 2017 en la SU4013389.

Es una herramienta de avanzada... Pues la verdad que no, tampoco, simplemente se aprovecha de un fallo de seguridad del Sistema Operativo Windows que estába documentado en el conjunto de herramientas que habia desarrollado la agencia norteamericana para su uso de "vigilancia". Luego paso a ser pública en Wikileaks, y el tiempo corrió a favor de los cybercriminales.

¿A que versiones de Windows afecta?

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2003
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016
  • Windows XP

Por increíble que pueda parecer, y pese a que hace 3 años que terminó el soporte oficial a Windows XP, está aún tan masificado su uso, que Microsoft ha decido cubrir dicho sistema con un parche oficial.

Si tenemos las actualizaciones automáticas en Windows 10, no debemos preocuparnos, puesto que el 14 de Marzo de 2017, fue lanzada la actualización de seguridad que solucionaba dicho problema. Por eso se "entiende" que las máquinas con Windows 10 no son vulnerables.

Si tenemos otras versiones de Windows, debemos corroborar que cumplimos con ciertas actualizaciones y en todo caso parchear a mano.

El problema es, que comienzan a salir variantes que se comportan de otro modo, en otras cuentas, y como siempre, el lado delictivo está un paso por delante de lo documentado.

Y aviso, los usuarios con Windows XP deben preparse para una pesadilla pues la mayoría de los exploits publicados recaen sobre este sistema y se verá convertido en un coladero de problemas próximamente.

¿La solución?

Pues el mismo día viernes un empleado de Proofpoint, encontró dentro del malware un dominio que actuaba como kill-switch y detenia la infección, compró dicho dominio por 10 U$S y problema acabado...

 

...hasta que a los minutos ya habia otras versiones con otros kill-switch o sin ellos...

¿Baja recaudación?

Realmente curioso es ver como los "ransomware" originales, pese al ruido que han hecho en todo el globo, no han recaudado hasta la fecha 80.000 (ochenta mil) dólares Actualización: hoy 18/5/2017 han recaudado poco mas de 85.000 U$S. Podéis ver en tiempo real en esta cuenta de Twitter lo que publica un robot (en una Raspberry Pi) que comprueba todo el tiempo los ingresos en las cuentas de Bitcoin "oficiales". ¿Cuántas infecciones lleva? Hasta hoy, se calcula que unas 250.000 distribuidas en 185 paises. Contemos que cada "rapto" pide entre 300 y 600 U$S.

Pero ¿y los no oficiales? ya se sabe que hay copias Chinas de estos que no hay aún contabilizadas, ni con kill-switch..  si quieren ver cuales son las versiones actuales, aquí los tienen.

¿Cómo funciona?

Básicamente, es un dos en uno, por un lado hay un gusano que explota la vulnerabilidad MS17-010 y propaga un troyano del tipo ransomware que cifra los archivos en disco dejandolos inaccesibles si no realizamos un pago.

El gusano en cualquier momento podría comenzar a propagar otro malware como un banker o un miner de Bitcoin además.

¿Y a qué extensiones de archivo afecta?

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der (y creciendo).

WannaCry en vivo

En el momento 0:32 entra en acción y en el 1:25 podéis ver como se autopropaga por la red e infecta al sistema que está en la derecha.

¿Pago o no pago?

Entendemos que vuestros datos son sensibles, pero aquí ya entramos con varios aspectos a discutir sobre el problema. Lo primero sería evaluar los backups que tiene el usuario/empresa; lo segundo, las shadow copy que pueda tener el sistema; lo tercero es si todo esto tiene una calidad que nos haga entender que estamos fuera de peligro.

Ante todo, debemos evaluar concienzudamente antes de dar cualquier paso, y cuanto antes mejor.

La gran resolución es antes que nada, NO PAGAR. Nadie debería pagar a un ladrón para que le devuelva una copia de la llave maestra que robó; no evitará que pueda volver.

Poco más queda por decir, el tema es incluso resumido, demasiado largo y seguirá.

Desde Vi-Consulting, el mismo Viernes y durante esta semana ya hemos comprobado que todos nuestros clientes que tienen planes contratados con nosotros están libres y fuera de peligro.

Instamos a que si tienen alguna duda nos consulten, la evaluación de vuestro problema no conlleva ningún coste.

En caso de que vuestro sistema operativo no sea legal, permítanos avisarle que está en peligro, y que no hará mas que empeorar de aquí a futuro al no tener las actualizaciones activadas. Igualmente podrá ponerse en contacto con nosotros si desea que evaluemos su situación.

Curiosidades de última hora:

  • Un equipo Linux, con Wine (Un conjunto de herramientas de desarrollo para portar aplicaciones Windows a Unix.) instalado para ejecutar aplicaciones Windows, SI puede verse afectado, bajo los directorios que dependen del mismo. Hay una broma por cierto, que dice que al fin es un programa de windows que funciona en Wine correctamente XD.

 

  • Los equipos con OS X si bien usan SMB (el protocolo por el que se cuela la infección), es una implementación diferente por ende, no se ve afectado a priori... ahora si la pregunta es si hay Ransomware en OS X/Macs/Apple, por supuesto que los hay, no nos olvidemos de KeRanger (2016) que bastantes dolores de cabeza dió y FileZip (2017) que viene impactando con fuerza desde Febrero. Pero esto da para otro artículo.

Una actualización de OS X inhabilita tu Ethernet si tienes iMac o MacBookPro

ViConsulting Aviso de falla en Ethernet OS X

 

La noticia circulaba ayer por Reddit, la ultima actualización de seguridad de OS X dejaba a algunos Mac's sin Ethernet.

En los foros se comentaba que al reiniciar el Mac, el puerto Ethernet estaba completamente inhabilitado.

Si bien el adaptador Wireless si que no se veía alterado, el problema ha sido de una gravedad bastante importante. Apple ha emitido un comunicado dando pistas para restaurar dicha funcionalidad que podéis leer aquí en caso de que os interese:

UpdateOSXFailsEthernet

 

Apple ya ha sustituido dicho update del sistema, aunque ha dejado el problema asentado en la comunidad y no todo el mundo sabrá lo que ha pasado.

Como siempre desde Vi-Consulting estamos para ayudarte en caso de que te haya afectado dicho problema y no sepas como solucionarlo. Contacta con nosotros.

Safari en OS X está fallando

Safari (OS X / iOS) está fallando

Safari Inestable

 

Hoy 27 de Enero de 2016, me encuentro que Safari se muestra completamente inestable, como navegador tiene sus cosas (incompatibilidades, privativo…) pero inestable la verdad… es que pocas veces y hoy la barra de direcciones es un suplicio.

No responde, no escribe, escribe a medias, se cierra la pestaña, no busca, no completa, completa pero no ejecuta… insufrible, al punto que o tienes otro navegador para tirar de él (mas que aconsejable siempre tener uno extra) o el que acaba majareta será el usuario.

El problema es que el sistema de sugerencias de Apple está caído, y esto ocasiona la torpeza de la barra de url’s del navegador. Para más Info: Artículo en la BBC

La solución una vez identificado el origen del error pasa por desactivar la funcionalidad de sugerencias que nos da Apple sobre Safari.

Para ello en iOS vamos a “Ajustes – Safari-Sugerencias de Safari” y lo desactivamos.

En OS X, abrimos Safari y vamos a “menú Safari-Preferencias…-Búsqueda” y desactivamos el checkbox que dice Incluir sugerencias de Safari.

Una vez pase el temporal podemos volver a activarlo si es de nuestro agrado.

 

Desde Vi-Consulting intentamos estar al día con lo que rodea el ámbito tecnológico. Nos gustaría compartirlo con vosotros, tanto por este medio, como por las newsletters que hacemos llegar a nuestros clientes con el resumen de lo mas importante del mes. Esperamos estar a la altura.

 

Gracias por vuestra confianza.