WannaCrypt, el último ransomware, información y como protegerse


  • 0

    0_1494781636337_virus-1891194_640.jpg

    En los dos últimos días, aunque se sabía que esto podía pasar, ha saltado a la luz un Ransonware que ha tenido en jaque a multitud de empresas e instituciones que no tenían sus sistemas operativos preparados.

    Este "bicho" en concreto se llama WannaCrypt, y aunque lo que hace es similar a otros como Cryptolocker se diferencia de estos por su capacidad para contagiarse a través de redes locales, aprovechando un agujero de seguridad en sistemas Windows no actualizados o anteriores a Windows Vista, lo que le permite extenderse por la red a través del protocolo SMB aunque tu usuario no tenga acceso por tema de permisos. Este agujero fue solucionado por Microsoft sacando las correspondientes actualizaciones en el mes de Marzo:

    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

    ¿Como evitarlo?

    • No pinchando en enlaces de correos electrónicos de los que no conozcamos su procedencia y teniendo en cuenta que siempre van a tratar de hacerse pasar por algún servicio que usemos y de la forma más realista posible. Lo mismo es aplicable a enlaces de páginas web, siempre hay que usar el sentido común.
    • Si usamos de Windows Vista/2008 Server en adelante tendremos que tener el sistema totalmente actualizado. Usar un Wndows pirata nunca es buena idea.
    • Como medida excepcional Microsoft ha publicado los parches para Windows XP y 2003 Server que deberemos instalar a mano:

    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    • Usar antivirus preparados contra ransonware o utilidades específicas como la de Malwarebytes o la de Bitdefender.

    ¿Y si nos ha cazado?

    • Desconectar ipso-facto el ordenador de la red y apagarlo.
    • Se recomienda no pagar el rescate para no fomentar estás extorsiones y porque nadie te asegura que vayas poder recuperar los datos.
    • "Bienaventurados los precavidos porque de ellos serán los backups". O dicho de otro modo, si tienes copia de seguridad formatea, la restauras y como si no hubiera pasado nada.

    Mas información

    Para más información sobre como actuar en caso de que nos infecte seguir este enlace del Instituto Nacional de Ciberseguridad:

    https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

    Y más información sobre la que se ha liado en el blog de Chema Alonso:

    http://www.elladodelmal.com/2017/05/actualizacion-informativa-sobre-los.html



  • 1

    Dicen que ha mutado y que ahora ignora el dominio ese que hacía que se desactivara, así que ojo al parche.



  • 2

    Si, así que hay que seguir tomando las medidas de seguridad necesarias porque lo mismo a comienzo de semana tenemos una nueva oleada.



  • 3

    Yo he tomado las mismas medidas de seguridad que con el HakunaMatata, otro Ramsomware que me causó hacer 20 horas extras en 3 días hace 4 meses (teniendo que formatear varios servidores y perdiendo una de las copias de seguridad). Básicamente he creado una politica onScan en la ePO del McAfee EndPoint Security que prohibe a los ordenadores cambiar la extensión de los archivos a .wncry o .wcry. Teóricamente segun el técnico de McAfee que me atendió eso bloquea el proceso de cifrado, claro que si muta y utiliza otra extensión me habrá jodido...



  • 4

    Que curioso, nunca he profundizado en antivirus corporativos y solo he tocado por encima el de Kaspersky y ni idea de que se podía hacer eso.



  • 5

    @Yorus dijo en WannaCrypt, el último ransomware, información y como protegerse:

    Que curioso, nunca he profundizado en antivirus corporativos y solo he tocado por encima el de Kaspersky y ni idea de que se podía hacer eso.

    La verdad es que se puede hacer más o menos de todo en función de los módulos adicionales adquiridos aunque algunas de dichas funciones se pueden sustituir por políticas de grupo del Directorio Activo de Windows.

    Ahora he visto que el día 13 recibí un correo de McAfee dónde avisaban de que habían desplegado un .DAT extra con medidas anti-wannacry. También he recibido un correo similar de Sonicwall, que son los Firewalls físicos que montamos (si se tiene el servicio de Gateway-Antivirus contratado), vamos que se han puesto las pilas con éste Ransomware.



  • 6

    @krampak dijo en WannaCrypt, el último ransomware, información y como protegerse:

    @Yorus dijo en WannaCrypt, el último ransomware, información y como protegerse:

    Que curioso, nunca he profundizado en antivirus corporativos y solo he tocado por encima el de Kaspersky y ni idea de que se podía hacer eso.

    La verdad es que se puede hacer más o menos de todo en función de los módulos adicionales adquiridos aunque algunas de dichas funciones se pueden sustituir por políticas de grupo del Directorio Activo de Windows.

    Ahora he visto que el día 13 recibí un correo de McAfee dónde avisaban de que habían desplegado un .DAT extra con medidas anti-wannacry. También he recibido un correo similar de Sonicwall, que son los Firewalls físicos que montamos (si se tiene el servicio de Gateway-Antivirus contratado), vamos que se han puesto las pilas con éste Ransomware.

    A mi lo que me parece mas curioso de todo es que uses mcafee, siempre lo habia tenido como uno de los peores antivirus que hay, pero por lo que describes no parece tan malo... al menos en las verisiones corporativas.

    Saludos!