Ir al contenido principal

Recomendaciones sencillas para defenderse de WannaCry

Por Mvllny


A raíz de los ataques cibernéticos del 12 de Mayo, cuando varias empresas fueron afectadas, incluyendo Telefónica, publicamos información útil y una lista de recomendaciones para detener la propagación del Ransomware WannaCry (QuiereLlorar).

Iremos actualizando la información de acuerdo a nuestras investigaciones, ayúdanos compartiendo el enlace a este FAQ por las redes sociales:

Nombres

WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY

¿Mi Windows puede ser afectado por el ransomware?

Sí, todas las versiones de Windows son afectadas

¿Cómo se infecta una computadora con WannaCry?

El programa malicioso aprovecha la conexión entre computadoras que permite compartir archivos e impresoras. La conexión vulnerable se llama SMBv1 y es usada por muchas computadoras Windows en el mundo. El virus hace uso de esta conexión para meterse en otras computadoras.

Otro punto de infección es el uso de la conexión de Escritorio Remoto.

El siguiente video muestra la infección de una maquina sana (derecha)  por parte de una infectada (izquierda) sin necesidad de abrir un archivo. WannaCry se copia solo:


¿Cómo evitar que el virus o ransomware WannaCry afecte a mi computadora?

Primero, deshabilitar el uso de SMBv en Windows.

En Panel de Control / Agregar o Quitar Programas / Características de Windows


Si prefiere usar el terminal, la siguiente guía con comandos para PowerShell hace lo mismo (copiar y pegar):

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Los comandos destinados a servidores funcionan bien, no requieren Reiniciar el equipo.

Segundo, descargue los parches desde el sitio web de Microsoft (no de otro lugar):

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Viejas versiones, Windows XP, Vista, Windows 8, Server 2003 and 2008:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 Tercero, Actualice con regularidad el antivirus.

Es necesario aplicar estas tres recomendaciones. Tener solo el antivirus sin los parches no contienen la propagación.

¿Qué efectos tiene el virus o ransomware WannaCry?

Cifra los archivos de diversas extensiones comunes: docx, xlsx, png, jpg, etc... Una vez afectado por el WannaCry es posible que no se pueda recuperar los archivos a menos que pague el rescate en bitcoins. Es posible que los atacantes no entreguen la clave a pesar de haber pagado.

Imagen 1: Mensaje de WannaCry en el momento que solicita el rescate

¿Quién es el atacante?

Hay poca información respecto a los atacantes. Parece un ataque simultaneo dirigido a varios puntos con el objetivo de obtener la mayor cantidad de computadoras secuestradas.

Es posible que individuos malintencionados o usuarios curiosos despistados descarguen el ransomware e infecten intencionalmente centros de computo, pudiendo afectar a la red de su escuela, universidad o empresa.

Síntomas si mi empresa o escuela está siendo atacada por WannaCry

  1. Las computadoras reinician de manera inesperada.
  2. Aparece una pantalla de fallo o Blue Screen de manera sorpresiva.
  3. Computadoras contiguas tienen la ventana roja semejante a la Imagen 1.
Ante cualquier evento o sospecha reporte al Administrador de red el evento para evitar la propagación.

Si encontré mi computadora infectada con WannaCry, ¿Que hago?

  • Cálmese. No apague la computadora. Si tiene Windows XP u 2003 es posible obtener los archivos usando un programa que extrae las claves de la memoria. Se encuentra aquí: https://github.com/aguinet/wannakey
  • Tire el cable de red o desactive la conexión Wifi para evitar que la infección se propague.
  • Conecte el equipo en una red aislada, actualice el antivirus para iniciar la limpieza.
  • Instale los parches citados lineas arriba.

Si su administrador de red no parece estar al tanto del problema...

Escríbale un email con la siguiente información técnica:

Bloquear en el Firewall los puertos 445/139 y 3389, que aplique los parches MS17-010 inmediatamente, parchar en los posible 2000, XP-2003. Con NT, aislar.

¿Debo aplicar el Kill Switch?

Cierta versión de WannaCry consulta un dominio. Si logra recibir respuesta detiene la infección. Es un extraño comportamiento programado por los atacantes. A eso le llaman Kill Switch (Bloqueo)

Si su administrador cree conveniente puede aplicar el acceso a los dominios Kill Switch. Hasta la fecha 20 mayo, creemos que será poco efectivo para las nuevas versiones.

¿Debo pagar el rescate?

No, porque estaría financiando a los atacantes.

Esperamos que estas recomendaciones los ayuden a mitigar los ataques que siguen creciendo en el
mundo.

Enlaces

No more ransomware - https://www.nomoreransom.org/about-the-project.html
Etiquetas:

Comentarios

Publicar un comentario