WANNACRY

WANNACRY
http://tomasgmbuceo.esy.es
TOMÁS GARCÍA MORÁN
2017

WANNACRY
¿QUÉ ES WANNA CRY?
Wanna Cry es otro
ransomware, una evolución
de lo que podría ser
CryptoLocker. Es un tipo de
virus, del formato troyano,
con la capacidad de
introducirse en nuestro
equipo explotando una
vulnerabilidad de software.
El ransomware tiene como
objetivo cifrar los archivos
del equipo infectado para
pedir un rescate vía
BitCoins. Para que el proceso de encriptación sea más rápido solo encripta aquellos
ficheros más críticos del usuario (doc, jpg, pdf) evitando encriptar archivos del
sistema, para mayor velocidad.
La misión de Wanna Cry no es eliminar ni robar datos, sino encriptar tus datos
personales y pedir un rescate si quieres recuperarlos. En este caso Wanna Cry pide
unos 300$ en BitCoins por cada ordenador infectado.
Cryptolocker se hizo tristemente famoso simulando un email de correos y de Endesa
para infectar miles de ordenadores en España.
¿CÓMO FUNCIONA WANNA CRY?
El esquema de funcionamiento del
ataque de Wanna Cry:
• Infección: Spam masivo a
direcciones de correo electrónico con un
enlace de descarga del dropper (el que
descargar el payload) o explotación de
servicio vulnerable expuesto a Internet o
conexión de equipo infectado a la red
local.
• Cuando se descarga el archivo
adjunto (dropper) se infecta el equipo
con Wanna Cry.
2
TOMÁS GARCÍA MORÁN 2

WANNACRY
• Propagación: Desde el ordenador infectado se rastrea la red LAN en busca de
equipos con la vulnerabilidad MS17-10 para propagar la infección.
¿Porque hay tantas empresas afectadas?
Gran parte de las
empresas afectadas por
Wanna Cry ha sido
debido a la falta de
actualización de los
equipos. Pero, por que
empresas como
Telefónica no tienen las
ultimas actualizaciones
de Windows? Esto es
debido a que muchas de
las grandes empresas
usan
software
desarrollado a medida y
cada actualización o parche debe ser probada con anterioridad, para asegurar su
funcionamiento. El proceso de verificación y prueba de los parches no es tan rápido
en empresas grandes dado el volumen de software a testear y de la sensibilidad para
la continuidad del negocio.
¿CÓMO PODEMOS EVITAR UNA INFECCIÓN POR CRYPTOLOCKER?
Wanna Cry entra en nuestro ordenador a través de nuestro gestor de correos Outlook,
oculto en correos de índole sospechosa.
Por lo tanto, evitar abrir correos de origen desconocido, con archivos adjuntos.
También es recomendable realizar los siguientes pasos:
• Actualizar todos los ordenadores con los últimos parches de seguridad de
Windows. Se puede descargar aquí
• No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni
contestar a este tipo de correos.
• Precaución al clicar enlaces en correos, mensajería instantánea y redes
sociales, aunque sean de contactos conocidos.
• Instalar herramientas antivirus/antimalware y activar el firewall.
• Tener copias de seguridad externalizadas de nuestra información, ya que las
copias de seguridad dentro del propio ordenador pueden verse también afectadas.
• Si el equipo está en red y comparte una unidad con otro equipo, desconectar
rápidamente el ordenador de la red, para impedir una propagación rápida del virus.
3
TOMÁS GARCÍA MORÁN 3

WANNACRY
¿PUEDO RECUPERAR LOS DATOS ENCRIPTADOS? ¿PAGO EL
“RESCATE”?
Los datos son practicamente indescrifables sin la clave de encriptación. Pagar el
rescate para que nos entreguen la clave de desencriptación no suele ser garantía de
exito, no solo no recibiremos la clave sino que disminuirá nuestra cuenta bancaria.
Pagar el rescate solo promueve y motiva a los creadores de estos virus.
NOTICIAS
UNA NUEVA AMENAZA MÁS POTENTE QUE WANNACRY, ETERNALROCK
LLEGA POR SORPRESA
“Tras los ciberataques que se han producido en las últimas semanas en todo el
mundo, todas las noticias apuntan a que
estamos muy lejos de volver a la calma.
El virus WannaCry infectó miles de
equipos a nivel mundial, llegando incluso
a infectar el sistema del Servicio Nacional
de Sanidad del Reino Unido.
En un primer momento, parecía que este
ransonware iba a ser muy difícil de
controlar. Sin embargo, la acción de un
joven investigador en ciberseguridad
consiguió frenarlo a las pocas horas de
dar comienzo el ataque. Pero, en
cuestión de horas, la segunda oleada
provocada por una serie de variantes de
WannaCry, volvió a poner en jaque a los
responsables de ciberseguridad de todo el
mundo.
Hace unos días, Miroslav Stampar, un experto de seguridad en el CERT de Croacia,
informó en su cuenta de Twitter del hallazgo de un nuevo malware más potente y
difícil de detectar que Wanna Cry.
Tras la información aportada por Stampar, fueron muchos los expertos que le dieron
la razón. Este nuevo malware hace también uso de algunos de los exploits que se
filtraron de la NSA”
4
TOMÁS GARCÍA MORÁN 4

WANNACRY
EL «WANNA CRY» IMPULSARÁ LAS INVERSIONES EN CIBERSEGURIDAD
“El presupuesto medio que una gran empresa necesita para recuperarse tras un fallo
de seguridad es de 490.000 euros. […] Al menos, según un informe de Kaspersky Lab,
del que también se desprende que las brechas más caras son el fraude de empleados,
el ciberespionaje, las intrusiones en la red y los fallos de terceros.[…]
Alfonso Ramírez cree que
«WannaCry» marca un antes y
un después en el mundo de la
ciberseguridad, porque grandes
empresas y usuarios han sido
conscientes de que no solo es
necesario disponer de una
solución, sino que hay que
mantenerla y actualizarla. Más
allá de que la prevención y la
concienciación se hayan revelado como factores imprescindibles para minimizar los
riesgos, resalta que «la seguridad no es un estado en el que instalas la solución y te
olvidas. Hay que verla como un proceso».“
5
TOMÁS GARCÍA MORÁN 5