Really, Do you wanna cry?

¿Qué está ocurriendo estos días?

No hay duda que WannaCry/WannaCrypt y derivados llevan de cabeza el mundo de la informática desde que se destapó su entrada en la central de Telefónica y varios hospitales de UK el pasado viernes (12.5.2017).

Nunca se habia hecho tanto eco de una noticia de la afección de un malware, pero hacía tiempo que no veíamos una infección a esta escala (Blaster y ILoveYou eran los mas recordados pero no habia la saturación informativa actual).

Los comienzos de la repercusión del ataque.

Entrar en Telefónica no es baladí, el gigante de las telecomunicaciones cuenta en su haber con un excelente equipo de Informática liderado por Chema Alonso, que los propios empleados de la compañía hayan confirmado que desde la dirección le pedían apagar sus máquinas y que no tendrían plena seguridad hasta hoy miércoles era una noticia que nos llamó la atención y mucho; pasamos de un ransomware detectado y muy visto pero no difundido a este nivel como el Cryptolocker a tener en todos los medios el mismo viernes a WannaCry sobre la mesa. ¿Los atacados? Telefónica, Petro China, NHS, Nissan, FedEx, el Ministerio del Interior de Rusia, Universidades... además de PyMEs y usuarios particulares.

Lo siguiente fue comprender que no había sido un ataque dirigido... la verdad, es que no es un ataque dirigido para nada, es una lluvia de código que secuestra tus archivos lanzada en la red, y al que le caiga mala suerte, nadie estaba a salvo.

Así como tampoco está claro de donde viene... incluso en la Deep Web hay kits a la venta que posibilitan la creación de este tipo de malware.

La NSA...

Pero ¿de dónde sale el exploit? Pues lo desarrolló la NSA, luego de su filtración por parte de Shadow Brokers en Wikileaks, Microsoft lo parcheó el 14 de Marzo de 2017 en la SU4013389.

Es una herramienta de avanzada... Pues la verdad que no, tampoco, simplemente se aprovecha de un fallo de seguridad del Sistema Operativo Windows que estába documentado en el conjunto de herramientas que habia desarrollado la agencia norteamericana para su uso de "vigilancia". Luego paso a ser pública en Wikileaks, y el tiempo corrió a favor de los cybercriminales.

¿A que versiones de Windows afecta?

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2003
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016
  • Windows XP

Por increíble que pueda parecer, y pese a que hace 3 años que terminó el soporte oficial a Windows XP, está aún tan masificado su uso, que Microsoft ha decido cubrir dicho sistema con un parche oficial.

Si tenemos las actualizaciones automáticas en Windows 10, no debemos preocuparnos, puesto que el 14 de Marzo de 2017, fue lanzada la actualización de seguridad que solucionaba dicho problema. Por eso se "entiende" que las máquinas con Windows 10 no son vulnerables.

Si tenemos otras versiones de Windows, debemos corroborar que cumplimos con ciertas actualizaciones y en todo caso parchear a mano.

El problema es, que comienzan a salir variantes que se comportan de otro modo, en otras cuentas, y como siempre, el lado delictivo está un paso por delante de lo documentado.

Y aviso, los usuarios con Windows XP deben preparse para una pesadilla pues la mayoría de los exploits publicados recaen sobre este sistema y se verá convertido en un coladero de problemas próximamente.

¿La solución?

Pues el mismo día viernes un empleado de Proofpoint, encontró dentro del malware un dominio que actuaba como kill-switch y detenia la infección, compró dicho dominio por 10 U$S y problema acabado...

 

...hasta que a los minutos ya habia otras versiones con otros kill-switch o sin ellos...

¿Baja recaudación?

Realmente curioso es ver como los "ransomware" originales, pese al ruido que han hecho en todo el globo, no han recaudado hasta la fecha 80.000 (ochenta mil) dólares Actualización: hoy 18/5/2017 han recaudado poco mas de 85.000 U$S. Podéis ver en tiempo real en esta cuenta de Twitter lo que publica un robot (en una Raspberry Pi) que comprueba todo el tiempo los ingresos en las cuentas de Bitcoin "oficiales". ¿Cuántas infecciones lleva? Hasta hoy, se calcula que unas 250.000 distribuidas en 185 paises. Contemos que cada "rapto" pide entre 300 y 600 U$S.

Pero ¿y los no oficiales? ya se sabe que hay copias Chinas de estos que no hay aún contabilizadas, ni con kill-switch..  si quieren ver cuales son las versiones actuales, aquí los tienen.

¿Cómo funciona?

Básicamente, es un dos en uno, por un lado hay un gusano que explota la vulnerabilidad MS17-010 y propaga un troyano del tipo ransomware que cifra los archivos en disco dejandolos inaccesibles si no realizamos un pago.

El gusano en cualquier momento podría comenzar a propagar otro malware como un banker o un miner de Bitcoin además.

¿Y a qué extensiones de archivo afecta?

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der (y creciendo).

WannaCry en vivo

En el momento 0:32 entra en acción y en el 1:25 podéis ver como se autopropaga por la red e infecta al sistema que está en la derecha.

¿Pago o no pago?

Entendemos que vuestros datos son sensibles, pero aquí ya entramos con varios aspectos a discutir sobre el problema. Lo primero sería evaluar los backups que tiene el usuario/empresa; lo segundo, las shadow copy que pueda tener el sistema; lo tercero es si todo esto tiene una calidad que nos haga entender que estamos fuera de peligro.

Ante todo, debemos evaluar concienzudamente antes de dar cualquier paso, y cuanto antes mejor.

La gran resolución es antes que nada, NO PAGAR. Nadie debería pagar a un ladrón para que le devuelva una copia de la llave maestra que robó; no evitará que pueda volver.

Poco más queda por decir, el tema es incluso resumido, demasiado largo y seguirá.

Desde Vi-Consulting, el mismo Viernes y durante esta semana ya hemos comprobado que todos nuestros clientes que tienen planes contratados con nosotros están libres y fuera de peligro.

Instamos a que si tienen alguna duda nos consulten, la evaluación de vuestro problema no conlleva ningún coste.

En caso de que vuestro sistema operativo no sea legal, permítanos avisarle que está en peligro, y que no hará mas que empeorar de aquí a futuro al no tener las actualizaciones activadas. Igualmente podrá ponerse en contacto con nosotros si desea que evaluemos su situación.

Curiosidades de última hora:

  • Un equipo Linux, con Wine (Un conjunto de herramientas de desarrollo para portar aplicaciones Windows a Unix.) instalado para ejecutar aplicaciones Windows, SI puede verse afectado, bajo los directorios que dependen del mismo. Hay una broma por cierto, que dice que al fin es un programa de windows que funciona en Wine correctamente XD.

 

  • Los equipos con OS X si bien usan SMB (el protocolo por el que se cuela la infección), es una implementación diferente por ende, no se ve afectado a priori... ahora si la pregunta es si hay Ransomware en OS X/Macs/Apple, por supuesto que los hay, no nos olvidemos de KeRanger (2016) que bastantes dolores de cabeza dió y FileZip (2017) que viene impactando con fuerza desde Febrero. Pero esto da para otro artículo.