Ataque Masivo de Ransomware Wcry

Aquí un superresumen de esta situación:
Hoy viernes 12 de mayo, nos despertamos con las noticias desde europa que mencionan un ataque de ransomware inusualmente grande. Este ha afectado tanto a compañias como a entidades gubernamentales en España (Telefonica) y Reinu Unido (NHS, Sistema Nacional de Salud por sus siglas en ingles).

Los este ataque en particular hace uso de información y herramientas provenientes de la más reciente filtración por un hackeo a la NSA.

Afortunadamente el CCN (Centro criptológico) español ya ha publicado algunos datos que ayudan a identificar vectores de ataque y culnerabilidades que deben de ser parchadas inmediatamente para mitigar la propagación de este ataque.

De la página del CCN Una cosa que diferencia a este ransomware, es que este posee también características de un gusano, es decir que una vez infectada una computadora, se replica dentro de la red.
Lean los siguientes links con las fuentes y obviamrnte más info:
www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/
mobile.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html?smprod=nytcore-iphone&smid=nytcore-iphone-share&_r=1
securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

Hoy microsoft ha lanzado un parche especial para los sistemas Windows XP, Windows 8, y Windows Server 2003:

Microsoft wrote: También sabemos que algunos de nuestros clientes están corriendo versiones de Windows que ya no reciben soporte. Esto significa que estos clientes no habrán recibido la Actualización de Seguridad mencionada que se lanzó en Marzo. Dado el potencial impacto a los clientes y sus negocios, hemos tomado la decisión de hacer la Actualización de Seguridad que era únicamente para plataformas con contrato "Custom Support" (Windows XP, Windows 8, y Windows Server 2003), disponible para el resto a través de descarga (ver los enlaces en el artículo original)


We also know that some of our customers are running versions of Windows that no longer receive mainstream support. That means those customers will not have received the above mentioned Security Update released in March. Given the potential impact to customers and their businesses, we made the decision to make the Security Update for platforms in custom support only, Windows XP, Windows 8, and Windows Server 2003, broadly available for download (see links below).

Así que si saben de alguna máquina corriendo aquellos sistemas, descarguen la actualización y métansela.

@ankoku @forseti99: muchas gracias por la nota. Vi que está en el front page de Wikipedia en inglés. Yo ya actualicé pero me quedan dudas después de leer al respecto. Qué opinan?

1. Si el WannaCry afecto más a empresas... y hasta cierto punto parece "dirigido" a ellas (wikipedia dice "spear phishing attack" que creo significa un "ataque dirigido"), entonces los Home Users están más o menos a salvo? Ya que al parecer via web links no es un método de contagio, aunque tampoco sé cómo fueron los primeros contagios¿?...
Pero bueno, los HOME USERS (que no han actualizado) estaremos con menos riesgo? Ya que no veo a muchos conocidos haciendo actualizaciones... ahha

2. Si el parche "MS17-010" del 14 de Marzo 2017 corrige la vulnerabilidad del protocolo SMB/SAMBA mediante el cual se propaga el "Ransomware" WannaCry:
¿Qué pasa si después de aplicarlo, alguien llega y "manualmente" abre el "virus" desde una USB o no sé si se pueda desde una página web (creo que no). El Wannacry SÍ se ejecutará y cifrará/encriptará y además secuestrará la PC de todas maneras?, simplemente no se podrá replicar por contar con el parche de Microsoft?

3. Si ya estás "infectado" con el WannaCry, se puede quitar?
Supongo que ya no te dejará moverle a la PC, así que no podrías aplicar el parche de Microsoft. Y aún si instalaras el parche de alguna manera, CREO que el parche no hace nada más que evitar la diseminación por SMB/SAMBA? Pero la PC seguiría infectada y se quedaría sin esperanza de recuperarla?
Consideren que el WannaCry adquirido es la versión SIN Kill Switch.
Nota: Sé que había un Kill Switch en la 1er versión del WannaCry, pero luego salió una versión SIN Kill Switch !






OTRAS DUDAS MENORES:

4. ¿Cómo verifico que sí tengo instalado el parche de seguridad "MS17-010" de Marzo 2017?
Yo bajé la "actualización acumulativa de Mayo 2017", pero su ID o número de actualización no coincide con el ID del puro parche "MS17-010". Igual es obvio, porque el primero es un grupo de actualizaciones, y el segundo es el puro parche.
ESPERO que el parche "MS17-010" vaya incluido dentro de la "actualización acumulativa"... y entonces tendría que leer el detalle de los parches que incluye. Pero bueno, preguntaba si había una forma más sencilla y rápida de checar si tengo bien instalado el dichoso parche "MS17-010".
technet.microsoft.com/en-us/library/security/ms17-010.aspx?ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNw-sqQhNApgA.Smv1cgQL3e5A&tduid=(197031599f8fe50d3b054eacc9bd784b)(256380)(2459594)(TnL5HPStwNw-sqQhNApgA.Smv1cgQL3e5A)()

5. WannaCry, según Wiki, sólo ha recaudado 33,000 USD. Si pedían $300 por PC, esto equivale a apenas 100 computadoras aprox.? (este cálculo lo hice yo). Pareciera que fracasó económicamente?, aunque afectó alrededor de 200 mil computadoras.

leblueorange wrote: 1. Si el WannaCry afecto más a empresas... y hasta cierto punto parece "dirigido" a ellas (wikipedia dice "spear phishing attack" que creo significa un "ataque dirigido"), entonces los Home Users están más o menos a salvo?

Como comentó ankoku, todo comenzó por la NSA. Es un desmadre.

Al parecer la NSA tiene registros de las vulnerabilidades de windows, las cuales aprovechan para vigilar a los usuarios. Luego llegó el grupo Shadow Brokers a "hackear" (léase alguien de la NSA les pasó la lista) a la Agencia de Seguridad Nacional de Estados Unidos, y puso en subasta la lista. Nadie pagó los 500millones de dólares que pedían, así que terminaron publicándola.

Varios grupos dijeron haber comenzado a ocupar las vulnerabilidades, sin ser realmente un problema. Incluso la primera versión de este ramsonware paso sin pena ni gloria. Luego llegó la versión nueva y el caos comenzó.

No estuvo dirigido a nadie en particular, solo buscaba sacar tanto dinero como fuera posible.

La infección comenzó con un documento de office infectado. Este te pedía ejecutar código (una macro) y de ahí comenzaba la expansión. Una vez infectada una máquina, esta se comunicaba con el resto de la red y pasaba el ransomware.

leblueorange wrote: ¿Qué pasa si después de aplicarlo, alguien llega y "manualmente" abre el "virus" desde una USB o no sé si se pueda desde una página web (creo que no). El Wannacry SÍ se ejecutará y cifrará/encriptará y además secuestrará la PC de todas maneras?, simplemente no se podrá replicar por contar con el parche de Microsoft?

No se ejecuta. El ransomware primero hacía una conexión a un dominio en internet, si el dominio no estaba registrado, la encriptación comenzaba. La empresa MalwareTech compró el dominio, así que como ya está registrado, el ransomware ya no se ejecuta (esto es a lo que le llamaban "kill switch"). Nuevas versiones podrían traer un dominio diferente, así que de ejecutarlo sí correría. Pero en sí mientras tengas la actualización los medios que ocupaba para expandirse habrán muerto.

leblueorange wrote: 3. Si ya estás "infectado" con el WannaCry, se puede quitar?

No. Lo recomendable es aceptar la pérdida y hacer respaldos desde ahora.

leblueorange wrote: 4. ¿Cómo verifico que sí tengo instalado el parche de seguridad "MS17-010" de Marzo 2017?

Si ocupas Windows vista o más reciente y estás al día con las actualizaciones, ya estás parchado desde Marzo, hace un mes. Si tienes XP, Windows 8 o Server 2003, instalas manualmente la actualización y estarás parchado.

leblueorange wrote: 5. WannaCry, según Wiki, sólo ha recaudado 33,000 USD. Si pedían $300 por PC, esto equivale a apenas 100 computadoras aprox.? (este cálculo lo hice yo). Pareciera que fracasó económicamente?, aunque afectó alrededor de 200 mil computadoras.

Porque no es recomendable pagar. Ha habido numerosos casos donde pagas y te dan el dedo, así que te destruyen tu info y encima dejas que te roben. El pago es en bitcoin, no hay forma de pedir reembolso ni seguir la monedita.

Como dije antes, los que tenían backups pues las ocuparon, los que no tenían pues aceptaron la pérdida (o ya terminaron de arrancarse los pelos). Los que pagaron probablemente no vieron su info de vuelta.

Es decir, cualquier dinero conseguido es bueno. El fracaso no es "solo conseguir X", el fracaso es "solo infectó a 50 equipos".

Muchas gracias forseti99 por tomarte el tiempo de responder tan generosamente mis preguntas.

No había pensado que aunque pagues, igual no te devuelven tu información : (

Cito unan noticia de slashdot que menciona que como todo el dinero iba a sólo 3 cuentas de Bitcoin, no había forma de identificar cuál computadora sí pagó y cuál no. Que los "dueños" del virus, mejor hubieran sacado cuentas individuales por cada PC infectada para detectar el pago. (pero yo pienso que esto tampoco era factible hacer, a menos que Bitcoin te deje generar de alguna manera nuevas cuentas por cada PC con algún script automático).

Quote:
"While the SMB worm is top-shelf code, the ransomware itself is quite unsophisticated, making a lot of operational errors, including using only 3 Bitcoin wallets to handle payments, instead of one per infected user, as most top-shelf ransomware does. This makes it difficult to tell which victims paid and who didn't, as anyone could claim "x" transaction is theirs, even if they didn't pay."
it.slashdot.org/story/17/05/15/0354230/pcs-connected-to-the-internet-will-get-infected-with-wanadecrypt0r-in-minutes?sdsrc=rel




EDIT: Agrego esto que no sabía:

El WannaCry usa dos cosas: Un backdoor llamado DOUBLEPULSAR que es el que permite instalar el WannaCry y el módulo ETERNALBLUE para propagarse mediante SMB.
El parche de Microsoft sirve para el ETERNALBLUE, pero no para el DOUBLEPULSAR.
Para este último, suponiendo una máquina infectada que pagó el "rescate" de 300 USD y fue "liberada", el DOUBLEPULSAR seguiría instalado y tendría que removerse con un antivirus como Malwarebytes... según Wired. Esto Wikipedia lo mencionó y pone el link de Wired.

Link de Wired: www.wired.co.uk/article/wanna-decryptor-ransomware
Aquí el detalle de cómo funciona paso a paso el WannaCry: blog.talosintelligence.com/2017/05/wannacry.html

Como nota adicional,

- Los primeros comments de esa noticia, dicen que "por default" el firewall de Windows bloquea el puerto 445 llamado SMB (o SAMBA para los Linux connoisseurs).
- Que algunos ISP, desde hace años, bloquean como política este puerto también. Esto ayuda a que no se disemine el virus. Pero en tu propia Red, si una PC estuviera infectada y con el puerto 445 abierto, sí podrías infectarte de todos modos.
- Que tendrías que habilitar "manualmente" en Windows, el "file sharing" (compartir recursos) en las 'Redes Públicas'.
- Lo anterior, o deshabilitar el "built-in Firewall" de Windows
- Que si estás conectado a Internet, directamente al ISP, sin un Router, podrías estar en peligro. Ya que el Router bloquea ciertas cosas por Default y el puerto 445 tmb. Generalmente, todos tenemos un Router. Pero hay casos raros en Estados Unidos, donde aún conectan a la gente a un módem (sin ser un Router) (tal vez son casos antiguos?)
- En resumen, no hay motivos por los cuales debas habilitar el puerto 445. Y si quieres usar SAMBA para conectar un disco remoto, sugieren hacer un túnel hacia una red privada, pero nunca hacia Internet.
Quote:"Even if you need to mount a remote share or drive over SMB, you do it via a tunnel to the other network. A naked 445 port has no place on a hostile internet."

it.slashdot.org/story/17/05/15/0354230/pcs-connected-to-the-internet-will-get-infected-with-wanadecrypt0r-in-minutes?sdsrc=rel

Para Windows, qué Firewall usan ustedes? (sin contar el built-in de Windows).
La mayoría de antivirus como NOD32 o Kaspersky traen uno, pero se quedan con este o usan otro con mejor interfaz/facilidad de uso?

En Mac, siempre se menciona el "Little Snitch".


PD: Agregué un ligero EDIT con más información del WannaCry en el Post #5, que se encuentra arriba.

en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
el puerto 445 sirve aparte de para SMB, para otras cosas de directorio activo, y esto solo debe de ser relevante para el suario casero si tiene directorios compartidos, un servidor de archivos o una red pequeña en la que desee compartir informacion haciendo uso de los protocolos nativos de microsoft.

¿Por que no esta abierto el puerto 445 hacia afuera?
La mayor razon por las que los ISP's bloquean puertos es para protejer a los usuarios de su propia ignorancia / incompetencia / estupidez / etc etc etc.
Es lo mismo por lo que cerraron el puerto 25 (SMTP) usado para la salida de correos electrónicos, ya que máquinas infectadas consumen mucho tráfico enviando correo a través de este puerto.
Existe el concepto de "la tirania del default", que dice que si a alguien le das un dispositivo, lo más seguro es que use la configuración por default, no importando lo incorrecta o insegura que esta pueda ser.
Simplemente tener un servidor usando SMB abierto a la internet es un suicidio, si tienes una red empresarial con muchas sedes, lo correcto es conectar a todas esas series mediante tuneles y entonces Y SOLO entonces, habilitar el SMB para compartir archivos y demás operaciones de directorio activo.

Firewalls para windows.
Se supone que el que ya trae windows es bueno, pero hay que tener cierta pericia y conocimientos técnicos para moverle. Yo usaba el de COMODO y se me hacía muy bueno, pero dados algunos escandalos, ya no confié tanto en la compañia, pero se me hace que le voy a dar itro chance, siempre y cuando me de el tiempo de leer de cabo a rabo el EULA y me deje satisfecho, esto es, que no me anden monitoreando lo que hago para después venderlo a quien sabe quien.

Malwarebytes no es un antivirus, es un anti-malware. También hay que hacer notar que muchos antivirus no detectan malware, por lo que NUNCA esta de mas tener malwarebytes o spybot a la mano y pasarselos a nuestras máquinas de vez en cuando.

leblueorange wrote: @ankoku @forseti99: muchas gracias por la nota. Vi que está en el front page de Wikipedia en inglés. Yo ya actualicé pero me quedan dudas después de leer al respecto. Qué opinan?

1. Si el WannaCry afecto más a empresas... y hasta cierto punto parece "dirigido" a ellas (wikipedia dice "spear phishing attack" que creo significa un "ataque dirigido"), entonces los Home Users están más o menos a salvo? Ya que al parecer via web links no es un método de contagio, aunque tampoco sé cómo fueron los primeros contagios¿?...
Pero bueno, los HOME USERS (que no han actualizado) estaremos con menos riesgo? Ya que no veo a muchos conocidos haciendo actualizaciones... ahha

2. Si el parche "MS17-010" del 14 de Marzo 2017 corrige la vulnerabilidad del protocolo SMB/SAMBA mediante el cual se propaga el "Ransomware" WannaCry:
¿Qué pasa si después de aplicarlo, alguien llega y "manualmente" abre el "virus" desde una USB o no sé si se pueda desde una página web (creo que no). El Wannacry SÍ se ejecutará y cifrará/encriptará y además secuestrará la PC de todas maneras?, simplemente no se podrá replicar por contar con el parche de Microsoft?

3. Si ya estás "infectado" con el WannaCry, se puede quitar?
Supongo que ya no te dejará moverle a la PC, así que no podrías aplicar el parche de Microsoft. Y aún si instalaras el parche de alguna manera, CREO que el parche no hace nada más que evitar la diseminación por SMB/SAMBA? Pero la PC seguiría infectada y se quedaría sin esperanza de recuperarla?
Consideren que el WannaCry adquirido es la versión SIN Kill Switch.
Nota: Sé que había un Kill Switch en la 1er versión del WannaCry, pero luego salió una versión SIN Kill Switch !






OTRAS DUDAS MENORES:

4. ¿Cómo verifico que sí tengo instalado el parche de seguridad "MS17-010" de Marzo 2017?
Yo bajé la "actualización acumulativa de Mayo 2017", pero su ID o número de actualización no coincide con el ID del puro parche "MS17-010". Igual es obvio, porque el primero es un grupo de actualizaciones, y el segundo es el puro parche.
ESPERO que el parche "MS17-010" vaya incluido dentro de la "actualización acumulativa"... y entonces tendría que leer el detalle de los parches que incluye. Pero bueno, preguntaba si había una forma más sencilla y rápida de checar si tengo bien instalado el dichoso parche "MS17-010".
technet.microsoft.com/en-us/library/security/ms17-010.aspx?ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNw-sqQhNApgA.Smv1cgQL3e5A&tduid=(197031599f8fe50d3b054eacc9bd784b)(256380)(2459594)(TnL5HPStwNw-sqQhNApgA.Smv1cgQL3e5A)()

5. WannaCry, según Wiki, sólo ha recaudado 33,000 USD. Si pedían $300 por PC, esto equivale a apenas 100 computadoras aprox.? (este cálculo lo hice yo). Pareciera que fracasó económicamente?, aunque afectó alrededor de 200 mil computadoras.

Creo que dicen que esta "diseñado para empresas". Porque la mayoría de la gente no tiene datos críticos en una computadora. Una formateada y empiezan de nuevo desde cero.
Para una empresa que tiene datos vitales, esto a veces no es opcion.
Y como afecta también a toda la gama de servidores basados en Windows..

Sobre lo de la cantidad de afectados. Es posible que solo afecte a empresas muy grandes, que dependen en probar los parches por meses para hacer "deploy".
Porque el parche que explota el WANNACRY ya tiene mas de un mes que salio y en el caso de Windows 10, se instala automático. Sin olvidar que tiende a "propagarse" por la misma red local ya cuando una maquina esta infectada por medio del "Phishing" o ejecutar el archivo infectado.

Así que el usuario domestico normal no le afectara mucho.


Por otro lado, me recuerdo que dicen que hay varias vulnerabilidades que estaban en el paquete de hackeo de la NSA (que se filtro por wikileaks y que contenía también la vulnerabilidad que hace funcionar al wannacry) que no han sido parchadas, incluyendo uno que supuestamente se expande al usar código estándar de impresoras (y infecta a impresoras inteligentes HP instaladas en Windows).

ankoku wrote: en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Malwarebytes no es un antivirus, es un anti-malware. También hay que hacer notar que muchos antivirus no detectan malware, por lo que NUNCA esta de mas tener malwarebytes o spybot a la mano y pasarselos a nuestras máquinas de vez en cuando.

Tienes razón. Malwarebytes es un anti-malware con versión free y paid, tanto en PC como MAC (excelente !) Del Spybot ya ni me acordaba que existía.

Yo creía que todos los antivirus actuales también checaban Malware... en mi creencia, pensaría que Malwarebytes y el AV Kaspersky hacen la misma chamba. Pero entonces, es mejor tener los dos?

Y es que los términos son confusos. Leí Wikipedia, y según esto, "Malware" es el término general, y de ahí se derivan categorías (que no son mutuamente excluyentes) como Viruses, Trojans, Rootkits, etc. Así que si el Malwarebytes quita "Malware", podría interpretarse que también quita viruses y cualquier otra cosa. O sea, hace las funciones de un Antivirus?
en.wikipedia.org/wiki/Malware



---- ----
@Tamalero: Si aún hay vulnerabilidades por pachar de las filtradas de la NSA, como eso de "las impresosas"... pues a ver qué cosas raras vendrán : ( y que lentos están para arreglar los hoyos.

Un virus y un malware son parecidos, pero al final distintos. El virus intenta propagarse y al final, solo joderte la existencia, digamos, infectar un documento de word y eventualmente explotar haciendo algún daño, como la eliminación de dichos documentos infectados.

El malware se instala en posiciones fijas, de tal manera que se te haga dificil eliminarlos y su función va más encaminada a espiarte.

Un virus normalmente ocupa la "ejecución" del medio infectado (documento, foto, musica, aplicación), mientras que el malware basta con que entres con internet explorer a alguna pagina de chicas malas que están bien buenas, para que te infectes de cochinada y media.

En el caso del Wcry, pues es un poco de muchas cosas, es un poco de virus, un poco de malware, un poco de trojano, un poco de tomar control total de tu maquina...

Y pues, lo ideal para mantener tu maquina limpia, pues es hacer como el mismo nombre dice... evitar meter usb's ajenas, no andar bajando cochinada y media de la red de sitios dudosos, usar siempre un navegador actualizado y con adblocker, en lo particular me gusta usar el spybot cada unos 3 meses para "inmunizar" el archivo de sitios bloqueados, y claro, pasarle de vez en cuando el spybot y anti malwarebytes.

Que antivirus manual recomiendan? Por ahora el Defender me ha servido pero como ya dijeron no está de más correr un antivirus mas poderoso de vez en cuando.

Muchas gracias LuisR!

El Windows Defender dices Passenger?, yo también lo uso! Según Wikipedia, a partir de Windows 8, además de ser anti-spyware, ya es un antivirus completo (similar a lo que era el MSE: Microsoft Security Essentials).
Además, Windows cada mes te instala el "Windows Malicious Software Removal Tool" (que bien dice en la descripción, no es un reemplazo a un AV).

Bien o mal, el Windows Defender espero cumpla algo. Y si no, cuál antivirus como alternativa?
Antaño, el Kaspersky fue el que más me gustó, y el NOD32 en 2do lugar. Ambos en sus versiones "Security" incluyen un Firewall interactivo.
Y el Avira o era el Avast más bien?, dentro de los gratuitos.

UPDATE: Según Wikipedia, los Antivirus actuales ya también son anti-spyware, además de protección contra viruses. Y en general, antivirus y anti-malware (no confundir con anti-spyware) ya son sinónimos. en.wikipedia.org/wiki/Antivirus_software

leblueorange wrote: @Tamalero: Si aún hay vulnerabilidades por pachar de las filtradas de la NSA, como eso de "las impresosas"... pues a ver qué cosas raras vendrán : ( y que lentos están para arreglar los hoyos.

Los parches están, el problema son los que no actualizan. Las compañías por los costos, y las personas por... Pues sabe por qué.

Compañías e individuos expertos en seguridad informática (white hat hackers) comenzaron a trabajar en cuanto salió la contraseña para descifrar el archivo filtrado de la NSA. Hoy ya se pueden encontrar análisis a fondo de algunas de las vulnerabilidades, y las recomendaciones de actualizar sistemas:

Análisis del exploit EPICHERO
Port del exploit EternalBlue (ocupado por el ransomware WannaCry), para probar la funcionalidad del exploit
Análisis del ransomware WannaCry

Hay que notar que los exploits por sí solos no te sirven de nada. El documento filtrado básicamente te dice "hay un hueco en tal punto del sistema", y te toca hacer todos los análisis hasta encontrar la forma de aprovecharlo.

Así, el port de EternalBlue te permite ver cómo funciona y aprovechar la vulnerabilidad. La ventaja es que esto está siendo compartido por los white hats, es decir, te enseñan cómo funciona para que sepas cómo detectar y protegerte de exploits futuros que sean similares (que en general no es necesario en usuarios comunes, es más bien para aquellos que tienen a su cargo cientos de equipos de su trabajo).

Por su parte los black hats hacen su propio análisis, y si le ganan a los buenos sacan algún ransomware, troyano o virus para aprovechar el exploit antes de que sea parchado. O bien, si no tienen uso para el exploit venden la info para alguien que quiera aprovecharse.

Hay salvación para algunos:

"Chema Alonso, director de datos de Telefónica y conocido hacker de cabeza cubierta, ha difundo hoy una herramienta que puede recuperar los archivos afectados por el ransomware WannaCry que la semana pasada secuestró los ordenadores de su compañía y colapsó la red de hospitales del Reino Unido.

Si has sido afectado por WanaCrypt0r 2.0 o algunas de sus cepas y no tienes copia de seguridad de tus documentos, este pequeño script de PowerShell desarrollado por ElevenPaths (parte de Telefónica) intentará encontrar esos archivos antes de que pierdas toda esperanza y formatees el disco duro.

Pero tienes que darte prisa: Telefónica WannaCry File Restorer no puede descifrar los ficheros ya secuestrados por el ransomware. Lo que hace es encontrar y restaurar una serie de ficheros temporales que WannaCry almacena como paso intermedio en el proceso de secuestrar tu disco duro.

Estos archivos temporales con extensión WNCRYPT solo se pueden rescatar si el malware aún no ha finalizado todo el proceso; por ejemplo, si ha sido interrumpido por un antimalware o porque apagaste el ordenador. Alonso dice que su equipo trabaja ya en una aplicación, además del script."

es.gizmodo.com/telefonica-publica-una-herramienta-para-recuperar-los-a-1795332556

blog.elevenpaths.com/2017/05/telefonica-wannacry-file-restorer-como.html

Muy listos, rescatar "los archivos temporales" antes de terminar el proceso de encriptación. Gracias Diaboliquin!

Diaboliquin wrote: Hay salvación para algunos

Algo más, ayer salió una solución para aquellos con XP infectado. La condición es no haber reiniciado el equipo después de la infección.

github.com/aguinet/wannakey

La versión corta es que lo que el programa Wannakey hace es capturar lo que ha quedado en la memoria del sistema, que son los números primos necesarios para crear la llave y descifrar los archivos.

La versión larga es que el comando CryptReleaseContext debería liberar la memoria borrando su contenido. Este comando se ejecuta terminando de cifrar y generar la llave privada RSA. Windows 10 y otros sistemas sí lo hacen, pero Windows XP tiene un exploit no parchado en ese comando: No borra el contenido.

Debido a que la info está en la RAM, al reiniciar esta obviamente se perderá, pero mientras el sistema siga funcionando la info puede extraerse usando ese exploit. Sin embargo se tiene que tener mucha suerte, porque puede que otro programa ocupe esa memoria y termine borrando los números de la llave.

Así que, el ransomware Wannacry que ocupa un exploit para entrar a windows, puede limpiarse usando otro exploit de windows. Irónico. :silly:

forseti99 wrote: Así que, el ransomware Wannacry que ocupa un exploit para entrar a windows, puede limpiarse usando otro exploit de windows. Irónico. :silly:

jajaja, qué buena solución (para algunos suertudos) y qué ironía

----
offtopic: forseti99, sabes porqué tu Font es diferente a la mía, si usamos el mismo foro? nota aparte, a mí no me aparece ningún menú de formato de texto, y supongo que a ti tampoco...?
EDIT: Ya vi que los post con algún Quote aparecen con un Font estilo "Sans Serif" (ej. Arial), pero si es un post nuevo SIN citar nada, sale con un Font estilo "Serif" (ej. times new roman)

Passenger wrote: Que antivirus manual recomiendan? Por ahora el Defender me ha servido pero como ya dijeron no está de más correr un antivirus mas poderoso de vez en cuando.

A que te refieres con manual?
Por que Manual es el ClamAV...
Ahora si lo que te refieres es a tener una segunda opinion, muchos fabricantes ya tienen versiones offline en las que booteas desde un disco/usb con un SO (muchas veces alguna variante de linux o windows PE) yd esde ahí cargas el motor del antivirus y solo bajhas las actualizaciones de la base de datos del AV.

forseti99 wrote: Por su parte los black hats hacen su propio análisis, y si le ganan a los buenos sacan algún ransomware, troyano o virus para aprovechar el exploit antes de que sea parchado. O bien, si no tienen uso para el exploit venden la info para alguien que quiera aprovecharse.

hay toda una industria para los exploits/vulnerabilidades de cualquier plataforma, ya sea compu, celular, punto de venta (que al fin y al cabo son pequeñas PC's) etc.
Quienes compran esto, se lo venden a cualquier interesado.
No todo "hacker" hace ransomware y no toda gente que hace ransomware es un "hacker", ciertamente hay que tener conocimeintos para armar un buen ransomware, pero ya la encriptación en si o los exploits empleados ya no son el problema, pues librerias gratuitas de encriptación las hay y los exploits están a la venta. la parte dificil está en hacer la infraestructura que de soporte al ransomware y no proporcione facilidades para el rastreo y que el programador sea lo suficientemente capaz para no cometer errores idiotas que faciliten la desencriptación de los datos sin haber pagado antes.[/quote]

leblueorange wrote: Muy listos, rescatar "los archivos temporales" antes de terminar el proceso de encriptación. Gracias Diaboliquin!

De hecho, si el tiempo lo permite o la necesidad de un cliente lo justifica, buscando en los archivos recientemente borrados puedes llegar a toparte con las versiones sin encriptar de varios archivos, esto pasa cuando el que escribió o más bien esambló el ransomware nomás "borra" los archivos usuando las llamadas habituales al sistema operativo, en cambio un tipo que te quiere JODER, agarra el archivo a encriptar, genera su versión encriptada, y antes de borrar el original, lo reescribe con basura, así aún recuperandolo del "cesto de la basura" pues vas a recuperar pura basura.

leblueorange wrote: nota aparte, a mí no me aparece ningún menú de formato de texto, y supongo que a ti tampoco...?

Sí aparece. Es la barra gris, solo que los íconos no se muestran. Hay que hacerle el comentario a passenger sobre eso.

Creo que por ahí alguien lo había puesto en el tema de "Seguimos en pie", pero no está de más que se vuelva a mencionar.