FANDOM


Wannacry 03

Distribución de la infección en diferentes regiones

WannaCry, originalmente llamado WanaCrypt (y otros alias conocidos son Wana Crypt0r y Wana Decrypt0r), es un gusano ransomware que corre en Microsoft Windows, y que usa dos herramientas filtradas por la NSA y que causó pánico en aeropuertos, bancos, universidades, hospitales y muchos otros lugares. Se expandió por más de 150 países alrededor del mundo, principalmente Rusia, Ucrania, Estados Unidos e India. No es desencriptable, ya que usa RSA-2048, por lo que la única manera de recuperar los archivos es a través de una copia de seguridad o pagando al atacante el equivalente a U$S300 en Bitcoins. El pago aumentaba a U$S600 72 horas después de provocada la infección, y, 7 días después, el malware comenzaba a borrar los archivos de la computadora.

ComportamientoEditar

InfecciónEditar

Este programa era distribuido de la misma manera que un troyano: cargándose a través de hipervínculos en e-mails, un link de Dropbox o publicidad. Cuando se ejecutaba, el ransomware encripta rápidamente los archivos de la computadora usando el mismo método de encriptación que usa la mensajería instantánea, excepto que son los que utiliza el sistema. También tiene la capacidad de atacar unidades de red.

Desde la versión 2.0 en adelante, este ransomware en vez de usar e-mails de spam, links falsos o publicidad como medio de propagación, se comporta como un gusano. Con la ayuda de codo malicioso inyectado de manera remota, ataca de forma activa todas las computadoras vulnerables en la red de la computadora infectada.

Escanea los puertos TCP y UDP 139 y 445 (SMB) de las computadoras; si encuentra respuesta y el host es vulnerable a este ataque, se descarga a este y empieza su ejecución.

ExploitsEditar

Wannacry 01

Exploit usado por WannaCry

Este ransomware usa el kit de exploits EternalBlue filtrado por The Shadow Brothers, el cual fue parchado por Microsoft el 14 de marzo. Sin embargo, muchas compañías y organizaciones no instalaron ese parche. Debido al daño que causó, Microsoft publicó un parche extraordinario para Windows XP, Windows Server 2003 y Windows 8, los cuales ya no tienen soporte.

WanaCrypt0r 2

WanaCrypt0r 2.0

¿Qué es WanaCrypt0r 2.0? (en inglés)

Muchas empresas de antivirus y compañías de seguridad crearon programas para "inmunizar" las computadoras contra las herramientas de hackeo de la NSA.

Ransomware WannaCry

Ransomware WannaCry

¿Qué viene después? (en inglés)

DetenciónEditar

El 14 de mayo, el ingeniero de redes británico Darien Huss encontró que el ransomware buscaba un dominio no registrado con letras y números sin sentido. Si se encontraba ese sitio web, WannaCry dejaría de infectar. Darien compartió el llamado "Kill Switch" con un hombre llamado MalwareTech, y compraron el dominio para detener los ataques. Sin embargo, el creador de WannaCry actualizó el ransomware para que esto no lo afectara.

Wannacry 08-1024x372

Propiedades de los archivos utilizados por WannaCry

Herramienta de desencriptaciónEditar

Adrien Guinet, un investigador en seguridad informática frances de Quarkslab, encontró que el ramsonware no removía los números primos de la memoria después de encriptar los archivos, lo que significaba que el usuario podía usar esos números para generar de nuevo el par de llaves pública y privada.

Luego de generar un par de claves de encriptación RSA, el sistema necesita elegir dos números primos. Después de generar esas claves, los números deberían ser secretos para prevenir que otros usuarios (como los hackers) puedan usarlos para regenerar la clave privada.

La WanaWiki trata de encontrar los números primos dejados por el ransomware y generaa la clave privada, para que el usuario no tuviera que pagar el rescate para desencriptar los archivos. Sin embargo hay algunos límites, de lo contrario la herramienta no puede desencriptar los archivos:

  • La máquina infectada no debe ser reinicidiada.
  • Como la ubicación de memoria de esos números primos ya no está asignada, pueden ser borrados o sobreescritos por otros procesos, por lo que la herramienta de desencriptación debe usarse lo más pronto posible.
Mapa de WannaCry

Mapa de WannaCry

Infección en tiempo real de WannaCry del día 12 de mayo

WannaCry explicado en profundidad

WannaCry explicado en profundidad

Eliminando a WannaCry (en inglés)

VariantesEditar

Wannacry-timeline

Linea de tiempo de WannaCry

Incluyendo la primer versión, hubieron 4 versiones conocidas:

  • Version 1.0 - April 25, 2017
  • Version 2.0 - May 13, 2017
  • Version 2.1 - May 14, 2017
  • Version 2.2 - May 15, 2017

ParchesEditar