Really, Do you wanna cry?

¿Qué está ocurriendo estos días?

No hay duda que WannaCry/WannaCrypt y derivados llevan de cabeza el mundo de la informática desde que se destapó su entrada en la central de Telefónica y varios hospitales de UK el pasado viernes (12.5.2017).

Nunca se habia hecho tanto eco de una noticia de la afección de un malware, pero hacía tiempo que no veíamos una infección a esta escala (Blaster y ILoveYou eran los mas recordados pero no habia la saturación informativa actual).

Los comienzos de la repercusión del ataque.

Entrar en Telefónica no es baladí, el gigante de las telecomunicaciones cuenta en su haber con un excelente equipo de Informática liderado por Chema Alonso, que los propios empleados de la compañía hayan confirmado que desde la dirección le pedían apagar sus máquinas y que no tendrían plena seguridad hasta hoy miércoles era una noticia que nos llamó la atención y mucho; pasamos de un ransomware detectado y muy visto pero no difundido a este nivel como el Cryptolocker a tener en todos los medios el mismo viernes a WannaCry sobre la mesa. ¿Los atacados? Telefónica, Petro China, NHS, Nissan, FedEx, el Ministerio del Interior de Rusia, Universidades... además de PyMEs y usuarios particulares.

Lo siguiente fue comprender que no había sido un ataque dirigido... la verdad, es que no es un ataque dirigido para nada, es una lluvia de código que secuestra tus archivos lanzada en la red, y al que le caiga mala suerte, nadie estaba a salvo.

Así como tampoco está claro de donde viene... incluso en la Deep Web hay kits a la venta que posibilitan la creación de este tipo de malware.

La NSA...

Pero ¿de dónde sale el exploit? Pues lo desarrolló la NSA, luego de su filtración por parte de Shadow Brokers en Wikileaks, Microsoft lo parcheó el 14 de Marzo de 2017 en la SU4013389.

Es una herramienta de avanzada... Pues la verdad que no, tampoco, simplemente se aprovecha de un fallo de seguridad del Sistema Operativo Windows que estába documentado en el conjunto de herramientas que habia desarrollado la agencia norteamericana para su uso de "vigilancia". Luego paso a ser pública en Wikileaks, y el tiempo corrió a favor de los cybercriminales.

¿A que versiones de Windows afecta?

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2003
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016
  • Windows XP

Por increíble que pueda parecer, y pese a que hace 3 años que terminó el soporte oficial a Windows XP, está aún tan masificado su uso, que Microsoft ha decido cubrir dicho sistema con un parche oficial.

Si tenemos las actualizaciones automáticas en Windows 10, no debemos preocuparnos, puesto que el 14 de Marzo de 2017, fue lanzada la actualización de seguridad que solucionaba dicho problema. Por eso se "entiende" que las máquinas con Windows 10 no son vulnerables.

Si tenemos otras versiones de Windows, debemos corroborar que cumplimos con ciertas actualizaciones y en todo caso parchear a mano.

El problema es, que comienzan a salir variantes que se comportan de otro modo, en otras cuentas, y como siempre, el lado delictivo está un paso por delante de lo documentado.

Y aviso, los usuarios con Windows XP deben preparse para una pesadilla pues la mayoría de los exploits publicados recaen sobre este sistema y se verá convertido en un coladero de problemas próximamente.

¿La solución?

Pues el mismo día viernes un empleado de Proofpoint, encontró dentro del malware un dominio que actuaba como kill-switch y detenia la infección, compró dicho dominio por 10 U$S y problema acabado...

 

...hasta que a los minutos ya habia otras versiones con otros kill-switch o sin ellos...

¿Baja recaudación?

Realmente curioso es ver como los "ransomware" originales, pese al ruido que han hecho en todo el globo, no han recaudado hasta la fecha 80.000 (ochenta mil) dólares Actualización: hoy 18/5/2017 han recaudado poco mas de 85.000 U$S. Podéis ver en tiempo real en esta cuenta de Twitter lo que publica un robot (en una Raspberry Pi) que comprueba todo el tiempo los ingresos en las cuentas de Bitcoin "oficiales". ¿Cuántas infecciones lleva? Hasta hoy, se calcula que unas 250.000 distribuidas en 185 paises. Contemos que cada "rapto" pide entre 300 y 600 U$S.

Pero ¿y los no oficiales? ya se sabe que hay copias Chinas de estos que no hay aún contabilizadas, ni con kill-switch..  si quieren ver cuales son las versiones actuales, aquí los tienen.

¿Cómo funciona?

Básicamente, es un dos en uno, por un lado hay un gusano que explota la vulnerabilidad MS17-010 y propaga un troyano del tipo ransomware que cifra los archivos en disco dejandolos inaccesibles si no realizamos un pago.

El gusano en cualquier momento podría comenzar a propagar otro malware como un banker o un miner de Bitcoin además.

¿Y a qué extensiones de archivo afecta?

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der (y creciendo).

WannaCry en vivo

En el momento 0:32 entra en acción y en el 1:25 podéis ver como se autopropaga por la red e infecta al sistema que está en la derecha.

¿Pago o no pago?

Entendemos que vuestros datos son sensibles, pero aquí ya entramos con varios aspectos a discutir sobre el problema. Lo primero sería evaluar los backups que tiene el usuario/empresa; lo segundo, las shadow copy que pueda tener el sistema; lo tercero es si todo esto tiene una calidad que nos haga entender que estamos fuera de peligro.

Ante todo, debemos evaluar concienzudamente antes de dar cualquier paso, y cuanto antes mejor.

La gran resolución es antes que nada, NO PAGAR. Nadie debería pagar a un ladrón para que le devuelva una copia de la llave maestra que robó; no evitará que pueda volver.

Poco más queda por decir, el tema es incluso resumido, demasiado largo y seguirá.

Desde Vi-Consulting, el mismo Viernes y durante esta semana ya hemos comprobado que todos nuestros clientes que tienen planes contratados con nosotros están libres y fuera de peligro.

Instamos a que si tienen alguna duda nos consulten, la evaluación de vuestro problema no conlleva ningún coste.

En caso de que vuestro sistema operativo no sea legal, permítanos avisarle que está en peligro, y que no hará mas que empeorar de aquí a futuro al no tener las actualizaciones activadas. Igualmente podrá ponerse en contacto con nosotros si desea que evaluemos su situación.

Curiosidades de última hora:

  • Un equipo Linux, con Wine (Un conjunto de herramientas de desarrollo para portar aplicaciones Windows a Unix.) instalado para ejecutar aplicaciones Windows, SI puede verse afectado, bajo los directorios que dependen del mismo. Hay una broma por cierto, que dice que al fin es un programa de windows que funciona en Wine correctamente XD.

 

  • Los equipos con OS X si bien usan SMB (el protocolo por el que se cuela la infección), es una implementación diferente por ende, no se ve afectado a priori... ahora si la pregunta es si hay Ransomware en OS X/Macs/Apple, por supuesto que los hay, no nos olvidemos de KeRanger (2016) que bastantes dolores de cabeza dió y FileZip (2017) que viene impactando con fuerza desde Febrero. Pero esto da para otro artículo.

Ramsonware Correos

El gran Malware del 2015:

Cryptolocker y variantes bajo un falso Correos.es

 

La gran estrella del año pasado la verdad, y que aún da coletazos comenzando el 2016 en entornos MS-Windows es un ejemplo de Ingeniería Social perfecto.

Varios clientes nos han consultado por él, dado que es posiblemente, de los modelos de malware, el más agresivo que hemos visto en años.

¿Virus? NO, Ransomware (rescate + software)

Básicamente lo que sucede es que recibes un email (hay varios canales de contagio pero este es el número uno) de Correos que ncorreos-ransomware-ejemploos indica que han intentado dejarnos una carta certificada y como no nos han encontrado hemos de dirigirnos a la oficina mas cercana. Y adjuntan un link para que obtengamos mas información al respecto.

 

A priori parece un email de Correos, tiene cierta estética familiar, posiblemente contenga datos nuestros que no hacen que sospechemos, y se sale de la tipología de email spammer. Aunque, hay errores de escritura un tanto sospechosos para un nativo.

Al hacer click, se nos descarga un archivo, que pasa a encriptar todos los archivos del tipo ofimático (Hojas de cálculo (MS-Excel, Calc, etc…) Documentos (MS-Word, Writer, etc…), PDF’s, Presentaciones (MS-Powerpoint, Impress, etc…) …) y parte de archivos del sistema.

RansomwareRescate

 

Resultado:

Nos secuestran nuestros archivos y nos piden un rescate vía una dirección .onion a pagar en Bitcoins (al cambio, unos 300 € actualmente) para que nos envíen una vacuna que los libere.

El virus en sí se podrá remover fácilmente, pero el encriptado que ejecuta, ese si que es complejo, y mucho…

 

 

 


 

¿Qué debo hacer?

Lo primero: NO PAGAR…

Imagínate que entran a tu domicilio unos ladrones, tienen acceso a tus pertenencias y encima te cambian la cerradura y te exigen un pago por una copia de llaves para que puedas acceder a ella… ¿quién te asegura que ellos no se quedan una copia para volver a entrar y volver a hacerlo?

Pues esto es igual, no debemos pagar bajo ningún concepto a un delincuente para que nos deshaga su trabajo.

Si te has infectado, consulta con nosotros, ya hemos recuperado algunos casos y en poco tiempo puedes volver a estar tranquil@.

 

 


La solución utópica pasa por seguir ciertas pautas generales ante cualquier tipo de Malware:

  1. Mantener el Sistema Operativo actualizado
  2. Uso de un buen Antivirus y Antimalware bien configurados y actualizados
  3. Sentido Común: No abrir emails sospechosos, ya sea porque no conocemos el remitente, como por identificarlo con actividades criminales o por una escritura un tanto extraña, y en caso de duda, simplemente no abrirlo
  4. Tener siempre una copia de seguridad

 

Desde Vi-Consulting intentamos estar al día con lo que rodea el ámbito tecnológico. Nos gustaría compartirlo con vosotros, tanto por este medio, como por las newsletters que hacemos llegar a nuestros clientes con el resumen de lo mas importante del mes. Esperamos estar a la altura.

 

Gracias por vuestra confianza.