¿Qué es WannaCry?

WannaCry (o también “WanaCrypt0r 2.0”, “Wanna Decryptor”, “Ransom:Win32/WannaCrypt“) es un tipo de Ransomware que comenzó a propagarse el viernes pasado con el objetivo de cifrar los archivos de los equipos infectados para pedir luego un rescate vía BitCoins.

En este caso, estaba solicitando alrededor de 0.2 Bitcoins (alrededor de USD 300) para recuperar los archivos secuestrados. Se estuvo distribuyendo con un Dropper adjunto en un e-mail con formato “amigable” que no era detectado la mayoría de antivirus y antimalware.

wannacry

 

¿A quién puede afectar?

Este ransomware afecta a sistemas Windows sin parchear, encriptando todos los archivos de la unidad local y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows vulnerables que haya en esa misma red.

Las versiones de Windows afectadas son:

  • Windows XP, Vista, 7, 8, 8.1, 10
  • Windows Server 2003
  • Windows Server 2008 R1 SP2 y R2 SP1
  • Windows Server 2012 R1 y R2
  • Windows Server 2016

(Es decir, prácticamente todo lo que hay en mercado hoy en día).

Microsoft en marzo publicó un parche para los sistemas operativos con soporte vigente para corregir el fallo. Es por eso en parte que este ataque no se llegó a un nivel de propagación superior. Sin embargo, no todos actualizan de forma automática Windows ya que se torna molesto que pida reiniciar a cada rato (o cuando le parezca) o peligroso de afectar a nuestros sistemas en producción.

Poco después, ante la magnitud del problema, Microsoft publicó un parche eventual para sus sistemas “legacy” sin soporte vigente. (Ej. XP, Vista, 7 y Server 2003).

 

¿Qué pasó?

Actualmente el virus WannaCry está detrás de uno de los ciberataques más extendidos de los últimos tiempos, ya que al momento afectó a más de 170 países y no solo a personas, sino que también a muchas empresas tales como Telefónica (españa), Renault, FedEx, el NHS (National Health Service británico), entre otras.

En Argentina no tuvo tanta repercusión, ya que el viernes a última hora un británico de 22 años, que se identifica en internet como “MalwareTech”, se convirtió por accidente en el “Héroe” que logró evitar la propagación del WannaCry.

Marcus-Hutchins

Este chico se puso a analizar una muestra del malware y se dio cuenta que el código se conectaba con un dominio “.com” que no estaba registrado. Por suerte para él (y para tantas otras víctimas), WannaCry sólo llevaba a cabo sus tareas si no podía conectarse a ese dominio en cuestión.

Como el dominio no estaba registrado, WannaCry no podía acceder y entonces procedía a secuestrar los archivos del sistema, por lo que este chico, al registrarlo no sólo detuvo la propagación, sino que también pudo ver cuántos equipos estaban intentando conectarse y así se supo la magnitud de la propagación del malware y logró monitorear las infecciones que iba habiendo en curso.

¡Ojo! Sin embargo, hay reportes de que han surgido variantes del WannaCry, así que te sugerimos permanecer alerta.

 

¿Qué hacer?

Más vale prevenir que curar. Te damos una serie de recomendaciones para estar al día en cuanto a seguridad con este tema y las prácticas recomendables a seguir.

Antes que nada, te recordamos que si tu Hosting, Cloud VPS o Servidor Dedicado está en WNPOWER, ¡todas estas recomendaciones ya están aplicadas! 😉

Si tu Cloud VPS o Servidor Dedicado es gestionado por vos (manejado por el cliente) en ese caso, las imágenes que usamos están protegidas, pero si estuviste personalizando tu sistema y ahora tenés dudas, podés descargar desde tu Panel de Cliente una guía rápida para chequear y aplicar los parches necesarios ¡Es súper fácil!

Recomendaciones

  • Mantené tu Anti-virus y Anti-malware actualizados.Windows Defender, System Center Endpoint Protection y Forefront Endpoint Protection detectan ahora esta familia de amenazas. El Scanner de seguridad gratuito también está diseñado para detectar esta amenaza.
  • Asegurate de que tus usuarios tengan el nivel de conocimiento necesario para no ejecutar archivos sospechosos. Ante la duda, tus usuarios deberían consultar a un técnico/administrador de sistemas competente antes de hacer alguna acción sospechosa.Es decir:
  1. No abrir archivos adjuntos o enlaces de e-mails, incluso si se mostraran con un icono familiar (logo de empresa o documento PDF), ni contestar a este tipo de correos.
  2. Tener precaución al seguir enlaces en e-mails, mensajería y redes sociales, aunque sean de contactos conocidos.
  • No instalar software pirata o de dudosa procedencia. No ejecutar software de tipo “keygen” o Scripts (ej. CMD o Powershell) que no hayamos analizado previamente.
  • Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante en unidades externas que no estén conectadas/montadas todo el tiempo.
  • No utilizar el usuario Administrador “a secas”, al menos la mayoría del tiempo. O bien en un entorno controlado (UAC).
  • Si todavía estás usando un sistema operativo Windows antiguo, te sugerimos en primera medida parchear inmediatamente el sistema y planificar a corto plazo realizar una actualización a la versión actual.
  • Si no podés aplicar el parche de Microsoft, otra alternativa válida es deshabilitar la compatibilidad con SMB 1.0. Esto lo explicamos en detalle en la guía que podés descargar desde tu Panel de Cliente.

 

Esperamos que estas recomendaciones te sean de utilidad. Como siempre, nos encantaría ayudarte en caso que necesites. ¡Dejanos tu comentario!

 

 

Más info de Microsoft: