FANDOM


WannaCry es un ransomware que infecto a paises de todo el mundo el 12 de mayo de 2017 y causo graves daños a empresas como Telefonica en España y Megafon en Rusia

La primera version del ransomware data de el 11 de abril de 2017, sin embargo la version reciente que se aprovecha de la vulnerabilidad "ETERNALBLUE" data del 11-12 de mayo de 2017

WannaCry
WannaCry, originalmente llamado WanaCrypt, con alias de Wana Crypt0r y Wana Decrypt0r, es un gusano ransomware en Microsoft Windows (se puede ejecutar en Linux a través de WINE) que utiliza dos herramientas filtradas por la NSA que ha causado estragos en aeropuertos, bancos, universidades, hospitales y muchas otras instalaciones. Se ha extendido a unos 150 países en todo el mundo, principalmente Rusia, Ucrania, los Estados Unidos y la India. No es descifrable ya que usa RSA-2048; por lo tanto, la única forma de recuperar archivos es realizar una copia de seguridad o pagar directamente con Bitcoin equivalente a $ 300 USD. El pago requerido aumenta al equivalente de Bitcoin de $ 600 USD después de 72 horas desde la infección inicial de la PC. 7 días después de la infección de la víctima, el malware comenzará a eliminar los archivos de la computadora.

Comportamiento

Infección

Este programa se puede entregar de la misma manera que un troyano, se carga a través de hipervínculos ejecutados por correo electrónico, enlace de Dropbox o publicidad. Cuando se ejecuta, el ransomware encriptará rápidamente los archivos en la computadora utilizando el mismo método de cifrado que utiliza la mensajería instantánea, excepto los que usa el sistema. También tiene la capacidad de atacar unidades de red.

A partir de la versión 2.0 y superior de este ransomware, en lugar de utilizar correos electrónicos no deseados, enlaces falsificados o publicidad como medio de transferencia, se comporta como un gusano. Con la ayuda de código malicioso remoto, ataca de forma activa todas las computadoras vulnerables en Internet.

Escanea los puertos TCP y UDP 139 y 445 (SMB) de las computadoras, si se encuentra que se escucha y el host se encuentra vulnerable a este ataque, se descargará en el host y comenzará su ejecución.


Parada

El 14 de mayo, un ingeniero de red británico, Darien Huss, descubrió que el ransomware busca en un dominio no registrado números y letras sin sentido. Si se encuentra el sitio web, el ransomware detendrá la propagación. Darien compartió el "Kill Switch" con un hombre llamado MalwareTech en Internet. Compraron el dominio para detener el ransomware. Sin embargo, el desarrollador de WannaCry ha actualizado el ransomware para que no se vea afectado por esto.

Wannacry 08-1024x372

Propiedades de los archivos de malware utilizados por WannaCry

Herramienta de descifrado lanzada

Adrien Guinet, un investigador de seguridad francés de Quarkslab, descubrió que el ransomware no eliminó los números primos de la memoria después de encriptar los archivos, lo que significa que el usuario puede usar estos números para generar nuevamente el par de claves públicas y privadas.

Antes de generar un par de claves de cifrado RSA, el sistema deberá elegir dos números primos. Después de la generación de estas claves, los números deben mantenerse en secreto para evitar que otros usuarios (como los hackers) los utilicen para regenerar la clave privada.

El WanaKiwi intenta averiguar los números primos que dejó el ransomware y genera la clave privada, de modo que el usuario no tenga que pagar el rescate por el descifrado de los archivos. Sin embargo, existen algunos límites, de lo contrario, la herramienta de descifrado podría no ayudar a descifrar los archivos:

La máquina infectada nunca debería haber sido reiniciada.

Dado que la ubicación de la memoria para estos números primos ya no se asigna, podrían ser borrados o sobreescritos por otros procesos, por lo que la herramienta de descifrado debe iniciarse tan pronto como sea posible para encontrar los números.