¿Qué es y cómo defenderse de ‘WannaCry’? 

Lo primero que debemos entender de WannaCry es que viene en dos partes. La primera es un exploit que se encarga de la infección y de la propagación. La segunda se trata de un cifrador que se descarga en un ordenador después de ser infectado.

La primera supone la gran diferencia entre WannaCry y la mayoría de cifradores. Para infectar una computadora con un cifrador normal, el usuario debe cometer un error, como, por ejemplo, haciendo clic en un enlace sospechoso, permitiendo que Word ejecute macros maliciosas o descargando un adjunto malicioso de un correo electrónico.

Particularmente en este caso, los creadores de WannaCry se han aprovechado de un exploit de Windows conocido como EternalBlue y que Windows parcheó con la actualización de software MS17-010 el 14 de marzo del presente año. Mediante el exploit, pudieron obtener acceso remoto a las computadoras e instalar el cifrador.

Si has instalado la actualización, esta vulnerabilidad no te afecta y los intentos de hackear tu ordenador remotamente mediante ella fallarán. Sin embargo, cabe recalcar que el hecho de aplicar el parche no significa que tu computadora sea inmune al ransomware. Por tanto, si lo abres de algún modo (es decir, si cometes un error), ese parche no te servirá de nada.

Después de hackear con éxito una computadora, WannaCry intenta distribuirse por toda la red local hacia otros computadores del mismo modo en que lo haría un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros terminales y, cuando encuentra un dispositivo vulnerable, lo ataca y cifra sus archivos. Por ello, las grandes empresas son las que más han sufrido por el ataque.

Una vez que la computadora es vulnerada, el programa cambia el fondo de pantalla con una imagen que contiene la información sobre la infección y las acciones que se supone que el usuario debe llevar a cabo para recuperar los archivos. WannaCry deja notificaciones en formato de archivos de texto con la misma información en todas las carpetas del ordenador para asegurarse de que el usuario reciba el mensaje.

Como de costumbre, una de las acciones es transferir cierta cantidad de dinero, en bitcoins, a los ciberdelincuentes. Tras ello, dicen que descifrarán todos los archivos. En un principio, los ciberdelincuentes pedían 300 dólares, pero luego subieron el rescate a 600 dólares.

CÓMO DEFENDERSE DE ‘WANNACRY’ 

Por desgracia, aún no existe un modo de descifrar los archivos que WannaCry ha encriptado, pero investigadores de varias compañías de seguridad trabajan en ello. Por ahora, la prevención es la única medida en contra. 

A continuación algunos consejos para presentados por expertos para prevenir la infección y minimizar los daños: 

  • Instala las actualizaciones de seguridad. Esto es para que todos los usuarios de Windows instalen el parche MS17-010. Microsoft también lo ha lanzado para otros sistemas que ya no reciben asistencia oficial, como Windows XP o Windows 2003.
  • Si ya tienes instalada en tu sistema un antivirus, preferentemente full y actualizado al día, se recomienda que hagas lo siguiente: inicia un análisis manual de las áreas críticas y, si la solución detecta MEM:Trojan.Win64.EquationDrug.gen (rootkit WannaCry), elimínalo y reinicia el sistema.
  • Crea copias de seguridad de forma regular y guárdalas en dispositivos que no estén conectados al ordenador constantemente. Si tienes una copia reciente, la infección de un cifrador no es una catástrofe; lo solucionarás pasando unas horas reinstalando el sistema operativo y las aplicaciones y, luego, restaurando los archivos. 

También se ha difundido un programa capaz de detectar y parar su funcionamiento. Se llama “Anti Ransom“, y es usado por muchos investigadores de seguridad. Se trata de un programa de código abierto, por lo que podemos descargarlo de manera gratuita. Su funcionamiento es muy curioso, ya que crea una “trampa” para los ransomware; una carpeta que llena de archivos falsos.

Cuando un proceso intenta cambiar uno de esos archivos (por ejemplo, para cifrarlo), Anti Ransom es capaz de detectarlo, identificarlo y avisarnos. (Personalmente no he probado esta aplicación pero su uso se ha disparado desde la aparición del ransomware). 

Fuente: Kaspersky

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *