¿Quieres llorar? conoce que es y como protegerse de WannaCry

Este 12 de Mayo de 2017 se produjo un ataque masivo mundial del ransomware WannaCry  el  que afecto a más de 200000 computadores en 150 países (Europol). América y Bolivia, hogar de su servidor 🙂 no se vieron exentos del ataque que afecto principalmente a empresas, pero este tipo de ciberataques ya sucedieron en el pasado, entonces ¿porque darle tanta importancia a este en particular? Principalmente por dos razones 1) el tamaño del ataque no tiene precedente alguno  y 2) el método utilizado.

Pero para entender mejor sobre este ciberataque, debemos tener claro algunos conceptos que habrán escuchado en los noticiarios y que seguramente muchos se quedaron con las dudas.

¿Qué es un ransomware?

Es un termino en ingles que traducido seria algo como «secuestro de datos«, es un método de extorsión que consiste en restringir el acceso a datos de la computadora victima a cambio del pago de un rescate, por lo general dinero.

La infección se produce por descargar archivos que llegan bajo engaños por correo electronico «phishing» u ocultos en otro tipo de archivos como videos, juegos, crack de programas, etc de paginas de descargas piratas.

El software malicioso puede ejecutarse al instante o esperar un tiempo antes de hacerse efectivo, entonces comienza a cifrar determinados archivos (por ejemplo, jpg, rar, java, zip, docx, xml, xlsx, bmp, dat, flv, mov, mp4, etc), luego presenta al usuario una advertencia de que sus archivos fueron encriptados y que para recuperalos debe pagar una cierta cantidad de dinero.

Ransomware CryptoLocker

¿Que es un exploit?

Un exploit es un código de computadora que aprovecha una vulnerabilidad de seguridad del sistema para conseguir un comportamiento anómalo de forma que un atacante podría usarla en su beneficio.

Un exploit, no es un malware en si, sino es más bien el modo de acceso, la llave con la que otros programas como WannaCry pueden acceder y explotar un sistema. Dicho de otra forma cuando un exploit revisa tu casa (computadora), lo que hace es buscar una ventana abierta, una puerta sin seguro, un cerca no muy alta, etc. Y ese es el camino que usara el WannaCry para introducirse.

¿Que es un Sistema Operativo?

Un Sistema Operativo puede ser definido como un conjunto de programas que están encargados de la correcta administración de los recursos de una computadora, es decir, suministrar una interfaz al usuario, administrar recursos (RAM, CPU, etc), administrar archivos, administrar tareas y servicio de soporte y utilidades que sirven de intermediario entre el usuario y su computadora. Dicho de otro modo el sistema operativo funciona como un «programa maestro», procurando que todos los programas y todos los componentes de una computadora funcionen de forma armónica.

Linux Fedora

Windows 10

Existen muchos sistemas operativos, entre los más conocidos Windows de Microsoft y GNU/Linux cada una con sus propias versiones o distribuciones, en Windows: Windows XP, Vista, Windows 10, Windows Server, etc ; y en linux: Fedora, Debian, Red Hat, Kali Linux, Red Hat Enterprise Linux,  etc.

¿Que es una Red Local?

Una red de área local o LAN (Local Area Network) es una red de computadoras que abarca un área reducida, como ser una casa, un departamento o un edificio. Todas las computadoras de una Red Local están conectadas ya sea por cable o un enlace inalambrico con un servidor, al estar conectadas pueden compartir recursos, intercambiar datos y aplicaciones, es decir pueden comunicarse entre si.

¿Que es phishing?

Phishing o suplantación de identidad es un método que consiste en engañar a una persona (la victima) y conseguir que revele información personal, como contraseñas, datos de tarjetas de crédito o números de cuentas bancarias. La vía utiliza es por medio de Correos Electrónicos, paginas web «falsas», mensajes SMS, perfiles falsos en RRSS e inclusive llamadas telefónicas.

E-mail que se hace pasar por EBAY y solicita al propietario de la cuenta el cambio de su password alegando que se produjeron varios intentos de acceso desde varias computadoras.

¿Que es una criptomoneda?

Una criptomoneda o Moneda Virtual es un medio digital de intercambio, es decir «Dinero Virtual» :), la diferencia con otros métodos de transacción en linea es que con la criptomoneda no existen intermediarios como en PayPal.

La primera criptomoneda fue el Bitcoin pero en la actualidad ya existen otras monedas virtuales (Namecoin, Peercoin, Freicoin, etc), se les llama criptomoneda porque para brindar seguridad estos incorporan criptografia (técnica para proteger archivos a través de la utilización de algoritmos matemáticos) el cual preserva el anonimato de sus propietarios.

El bitcoin no necesita de bancos por tanto esta moneda escapa a todo control de entidad monetaria alguna, esta moneda virtual no esta respaldado por ningún gobierno o zona económica, es más en Bolivia esta prohibida (resolución 044/2014 Banco Central de Bolivia).

Ransomware WannaCry

WannaCry (Quiero llorar) es de la familia de los ransonware y su forma de actuar es la misma con la excepción de que cambia la forma de infección, es decir, no es necesario que el usuario descargue nada, este malware aprovecha una vulnerabilidad en el Sistema Operativo Windows a través de 2 programas «exploits» (Eternal Blue y Double Pulsar robados a la Agencia Nacional de Seguridad de EE.UU) para infiltrarse en la computadora victima.

La vulnerabilidad en cuestión tiene que ver con la SMB (Server Message Block), un protocolo de red que permite compartir archivos, impresoras, etc, entre nodos de una red de computadoras que usan el sistema operativo Windows. Una vez que la computadora victima esta infectada, procede a escanear computadoras de la misma «red local» buscando la misma vulnerabilidad y proceder a infectarlas, al mismo tiempo escanea hosts aleatorios de internet para propagarse más rápidamente.

WannaCry exige el pago de 300 dólares o su equivalente en bitcoins (una criptomoneda) en un plazo de tres días. En caso de no cumplir la demanda, el precio del rescate se duplica.

Archivos cifrados por el ransomware:

*.der *.pfx *.key *.crt *.csr *.p12 *.pem *.odt *.ott *.sxw *.stw *.uot *. 3ds *.max *.3dm *.ods *.ots *.sxc *.stc *.dif *.slk *. wb2 *.odp *.otp *.sxd *.std *.uop *.odg *.otg *.sxm *. mml *.lay *.lay6 *.asc *.sqlite3 *.sqlitedb *.sql *. accdb *.mdb *.dbf *. odb *.frm *.myd *.myi *.ibd *.mdf *.ldf *.sln *.suo *.cpp *.pas *.asm *.cmd *.bat *.ps1 *.vbs *.dip *.dch *.sch *.brd *.jsp *.php *. asp *.java *.jar *.class *.mp3 *.wav *.swf *.fla *.wmv *.mpg *.vob *.mpeg *.asf *.avi *.mov *.mp4 *.3gp *.mkv *.3g2 *.flv *. wma *.mid *.m3u *.m4u *.djvu *.svg *.psd *.nef *.tiff *.tif *.cgm *.raw *.gif *.png *. bmp *.jpg *.jpeg *.vcd *.iso *.backup *.zip *.rar *. tgz *.tar *.bak *.tbk *.bz2 *.PAQ *.ARC *.aes *.gpg *. vmx *.vmdk *.vdi *.sldm *.sldx *.sti *.sxi *.602 *.hwp *.snt *.onetoc2 *.dwg *.pdf *.wk1 *.wks *.123 *.rtf *. csv *.txt *.vsdx *.vsd *.edb *.eml *.msg *.ost *.pst *. potm *.potx *. ppam *.ppsx *.ppsm *.pps *.pot *.pptm *.pptx *.ppt *.xltm *.xltx *.xlc *.xlm *.xlt *.xlw *. xlsb *.xlsm *.xlsx *.xls *.dotx *.dotm *.dot *.docm *.docb *.docx *.doc

Esto quiere decir que toda computadora que utilice el Sistema Operativo Windows y que no tengan instaladas las ultimas actualizaciones «son vulnerables«.

¿Cómo protegerse de Ransomware WannaCry?

1. Actualizaciones de Seguridad

Si es usuario de Windows, debe asegurarse de que tenga instaladas las ultimas actualizaciones de seguridad. Todas las versiones de windows son potencialmente vulnerables a excepción de algunas versiones de Windows 10 ( Windows 10 Creators Update 1703).

Como ya dijimos arriba, WannaCry se aprovecha de una vulnerabilidad de Windows que tiene que ver con SMB (Server Message Block) Microsoft  ya ha publicado un parche en marzo que soluciona este bug (Microsoft Security Bulletin MS17-010) Se recomienda que descargue e instale esta actualización en su computadora.

2. Deshabilitar SMB

Otra opción que se tiene para protegerse de WannaCry es deshabilitar el SMB, Microsoft le brinda un manual para llevar a cabo esa acción  «How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server«, sin embargo si usted no es un usuario con conocimientos avanzados sobre computación, es decir, es un usuario promedio que utiliza su PC en el trabajo y nada más, no se recomienda ejecutar esta opción, podría hacer mucho más mal que bien, las empresas cuentan con personal especializado para llevar a cabo esta tarea (si señores no solo están para arreglar sus impresoras 🙂 ).

3. Antivirus

Tener actualizado el antivirus puede protegerle de la mayoría de las amenazas de internet y dado este ultimo masivo ataque, las empresas de Antivirus añadirán la capacidad de detección de este ransomware esperemos en cuestión de días.

4. Copias de Seguridad

Es una buena practica realizar copias de seguridad de sus archivos regularmente, si bien las computadoras actuales cuentan con gran espacio de almacenamiento, como dice un viejo y conocido refrán «Perro que ladra jamás su tronco endereza«, no, no, quiero decir, «No pongas todos tus huevos en la misma canasta«. De esta forma si algún malware te afecta o sufres un error de hardware, solo tendrás que reemplazarlos con los de tu «Copia de Seguridad«.

¿Y si ya estas infectado?

Sus archivos están encriptados y su recuperación es prácticamente imposible, la única forma de volver sus archivos a su estado original es mediante la clave que el ciberadelincuente usó para su cifrado. Si bien existen programas en internet que prometen recuperar sus archivos, si estos no proceden de un lugar de confianza, mejor no los use, puede resultar peor la cura que la enfermedad y se este infectando con otro malware más. Para terminar, NUNCA PAGUE EL RESCATE. No importa el contenido de sus archivos, no existe garantía de que una vez realizado el pago usted recupere el control de estos datos, esta tratando con ciber criminales.