¿Cómo se está propagando el software malicioso "WannaCry" y cómo deben defenderse los usuarios de él?

242

Hay una nueva variedad de ataques que está afectando a muchos sistemas en todo el mundo (incluido el NHS en el Reino Unido y Telefónica en España), que se llama " WannaCry " entre otros nombres.

Parece ser un ataque estándar de phishing / ransomware, pero también se está propagando como un gusano una vez que entra en una red objetivo.

¿Cómo afecta este malware a los sistemas de las personas y cuál es la mejor manera para que las personas se protejan de este ataque?

    
pregunta Rоry McCune 12.05.2017 - 21:02
fuente

10 respuestas

135

Los ataques WannaCry se inician utilizando una vulnerabilidad de ejecución remota de código SMBv1 en el sistema operativo Microsoft Windows. El exploit EternalBlue fue parcheado por Microsoft el 14 de marzo y se puso a disposición del público a través del "basurero de Shadowbrokers" el 14 de abril de 2017. Sin embargo, muchas empresas y organizaciones públicas aún no han instalado el parche en sus sistemas. Los parches de Microsoft para las versiones heredadas de Windows se publicaron la semana pasada después del ataque.

¿Cómo prevenir la infección por WannaCry?

  1. Asegúrese de que todos los hosts hayan habilitado soluciones anti-malware de punto final.

  2. Instale el parche oficial de Windows (MS17-010) enlace , que cierra la vulnerabilidad del servidor SMB utilizada en este ataque de ransomware.

  3. Escanear todos los sistemas. Después de detectar el ataque de malware como MEM: Trojan.Win64.EquationDrug.gen, reinicie el sistema. Asegúrese de que los parches MS17-010 estén instalados.

  4. Realice una copia de seguridad de todos los datos importantes en un disco duro externo o en un servicio de almacenamiento en la nube.

Más información aquí: enlace

    
respondido por el Nik Nik 12.05.2017 - 22:31
fuente
64

El ransomware está utilizando un exploit conocido y divulgado públicamente en SMBv1 (Server Message Block Version 1). Es un protocolo de nivel de aplicación utilizado para compartir archivos e impresoras en un entorno de red.

El protocolo SMBv1 se encuentra comúnmente en entornos de red de Windows e incluye sistemas operativos como Windows XP, Windows 7, 8, 8.1 y 10. Windows Vista y en adelante permiten el uso de SMBv1 , a pesar de que admiten los protocolos SMBv2 y v3 mejorados.

Es poco probable que los entornos que no utilizan la implementación de Microsoft se vean afectados por la vulnerabilidad y las vulnerabilidades relacionadas. Además, los entornos que no admiten SMBv1 tampoco se ven afectados.

Puede deshabilitar la compatibilidad con SMBv1, según las instrucciones de Microsoft: enlace

Aquellos que ejecutan Windows 8.1 o Windows Server 2012 R2 y versiones posteriores pueden deshabilitar la compatibilidad eliminando la función de Windows para "Compatibilidad con archivos compartidos SMB1.0 / CIFS".

Hay seis vulnerabilidades principales en la implementación de SMBv1 de Microsoft. Los primeros cinco (y más críticos) son los que permiten la ejecución remota de código arbitrario. El último permite la "divulgación de datos". El ransomware aprovecha las primeras cinco vulnerabilidades y las explota.

Las medidas que los usuarios / empresas pueden tomar para mitigar este ransomware y otros incluyen:

  • Asegúrese de que los sistemas estén parcheados, las vulnerabilidades fueron parcheadas en marzo de 2017.
  • Mantenga una copia de seguridad reciente de su sistema o datos críticos de usuarios / negocios.
  • Use y mantenga una solución antivirus
  • Use un esquema de copia de seguridad como GFS (abuelo, padre, hijo).
  • Eliminar el uso o soporte de SMBv1 (ver más arriba).
  • Separe la red de manera que se disminuya el impacto del daño.
  • Use un conjunto diverso de sistemas y sistemas operativos si es posible.

Enlaces web:

enlace

enlace

enlace

    
respondido por el dark_st3alth 13.05.2017 - 21:36
fuente
31

Cisco ha publicado un artículo sobre este que incluye más detalles que cualquiera de los demás. Has visto. Sus pasos básicos para la prevención son los siguientes:

  
  • Asegúrese de que todos los sistemas basados en Windows estén completamente parcheados. Como mínimo, asegúrese de que se haya aplicado el boletín MS17-010 de Microsoft.
  •   
  • De acuerdo con las mejores prácticas conocidas, cualquier organización que tenga SMB accesible públicamente a través de Internet (puertos 139, 445) debe bloquear inmediatamente el tráfico entrante.
  •   

Y al menos basado en ese boletín de Microsoft , parece que esta es una vulnerabilidad de SMBv1, no de SMBv2.

    
respondido por el AndyO 13.05.2017 - 13:27
fuente
20

¿Quién está en riesgo? Cualquier persona que ejecute los sistemas operativos que se enumeran en el anuncio de parche aquí: enlace

¿Cómo? El malware se puede entregar de muchas maneras, una vez que un punto final se comprometa con el aspecto 'gusano' de este malware explota ms17-010. Por lo tanto, podría estar haciendo clic en un enlace, abriendo un archivo que se envió por correo electrónico, etc. enlace

Parece ser? ¿Estás bromeando ?-)

Mírelo como se propaga: enlace

Indicadores de compromiso: enlace

Buscar puntos finales vulnerables (nmap): enlace

    
respondido por el Ed Daniel 12.05.2017 - 21:25
fuente
16

También es importante saber que hay nuevas variantes de Wannacry (apodado Wannacry v2) que se cree que no son de los mismos autores.

Cómo este malware compromete los sistemas:

Primero crea y establece las siguientes entradas de registro:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Microsoft Updates Task Scheduler"="" [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd"="[PATH_TO_RANSOMEWARE]"
  • HKEY_CURRENT_USER \ Control Panel \ Desktop \ "Wallpaper"="% UserProfile% \ Desktop! WannaCryptor! .bmp"

WannaCry luego crea los siguientes mutex:

  • Global \ WINDOWS_TASKOSHT_MUTEX0
  • LGlobal \ WINDOWS_TASKCST_MUTEX

Después de esto, termina los siguientes procesos utilizando taskkill /f /im :

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange. *
  • MSExchange *

WannaCry comienza a buscar, cifrar y agregar .WCRY al final de los nombres de archivo de los siguientes formatos de archivo:

  

.123
  .3dm
  .3ds
  .3g2
  .3gp
  .602
  .7z
  .ARC
  .PAQ
  .accdb
  .aes
  .ai
  .asc
  .asf
  .asm
  .asp
  .avi
  .backup
  .bak
  .bat
  .bmp
  .brd
  .bz2
  .cgm
  .class
  .cmd
  .cpp
  .crt
  .cs
  .csr
  .csv
  .db
  .dbf
  .dch
  .der
  .dif
  .dip
  .djvu
  .doc
  .docb
  .docm
  .docx
  .dot
  .dotm
  .dotx
  .dwg
  .edb
  .eml
  .fla
  .flv
  .frm
  .gif
  .gpg
  .gz
  .hwp
  .ibd
  .iso
  .jar
  .java
  .jpeg
  .jpg
  .js
  .jsp
  .key
  .lay
  .lay6
  .ldf
  .m3u
  .m4u
  .max
  .mdb
  .mdf
  .mid
  .mkv
  .mml
  .mov
  .mp3
  .mp4
  .mpeg
  .mpg
  .msg
  .myd
  .myi
  .nef
  .odb
  .odg
  .odp
  .ods
  .odt
  .onetoc2
  .ost
  .otg
  .otp
  .ots
  .ott
  .p12
  .pas
  .pdf
  .pem
  .pfx
  .php
  .pl
  .png
  .pot
  .potm
  .potx
  .ppam
  .pps
  .ppsm
  .ppsx
  .ppt
  .pptm
  .pptx
  .ps1
  .psd
  .pst
  .rar
  .raw
  .rb
  .rtf
  .sch
  .sh
  .sldm
  .sldx
  .slk
  .sln
  .snt
  .sql
  .sqlite3
  .sqlitedb
  .stc
  .std
  .sti
  .stw
  .suo
  .svg
  .swf
  .sxc
  .sxd
  .sxi
  .sxm
  .sxw
  .tar
  .tbk
  .tgz
  .tif
  .tiff
  .txt
  .uop
  .uot
  .vb
  .vbs
  .vcd
  .vdi
  .vmdk
  .vmx
  .vob
  .vsd
  .vsdx
  .wav
  .wb2
  .wk1
  .wks
  .wma
  .wmv
  .xlc
  .xlm
  .xls
  .xlsb
  .xlsm
  .xlsx
  .xlt
  .xltm
  .xltx
  .xlw
  .zip

Para prevención, Nik le dio todo lo que necesita saber, pero agregaré que debe intentar bloquear las conexiones entrantes en el puerto 445 / TCP. Asegúrate de no bloquear el siguiente dominio de sumidero, ya que este es el interruptor kill que se encuentra en el binario de Wannacry v1:

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Espero que ayude.

    
respondido por el Soufiane Tahiri 15.05.2017 - 13:48
fuente
6

NHS estaba condenado a ser el primer hit

Hay muchas respuestas excelentes aquí, pero esta respuesta es esclarecedora dados los eventos recientes. El 18 de enero de 2017 Certificados de EE. UU. Instaron a los administradores a cerrar cortafuegos SMBv1 pero los comentarios sobre esta historia dicen que la única razón por la que todavía existe el soporte de Windows XP es porque el NHS (el Servicio Nacional de Salud del Reino Unido que se cerró el viernes 12 de mayo) paga M $ toneladas de efectivo para mantenerlo con vida.

Un enlace para todos los que no sean compatibles con las versiones vulnerables de Windows

Si tiene una computadora portátil con respaldo de Windows Vista más antigua como yo, es posible que esté interesado en KB4012598 para Windows 8, XP, Vista, Server 2008 y Server 2003 que son equivalentes a los muy comentados de MS17-010 . Estos son parches manuales para las versiones de Windows de EOL (Fin de vida útil) fuera de soporte y actualizaciones automáticas. Microsoft dio el extraordinario paso de lanzar estos parches en las últimas 48 horas.

Los usuarios de Linux también pueden ser afectados

Si hay usuarios de Linux que leen esta respuesta, me gustaría señalar las vulnerabilidades analizadas en Pregunte a Ubuntu en este Question que publiqué.

Detalles técnicos no listados en otras respuestas

Este article discute el bloqueo de puertos específicos y la desactivación de SMBv1 y SMBv2 en favor de SMBv3. La parte del artículo dice que el FBI dice que no debería pagar a los delincuentes para que le devuelvan sus datos, pero con toda honestidad, pagaría 300 dólares para recuperar mi vida.

coincidencias espeluznantes

Los Shadow Brokers han ganado 31 de los grandes hasta el momento según un artículo de hoy. Un hecho interesante es que el nombre apareció por primera vez (AFAIK) como un grupo ficticio que maneja y trata secretos en un videojuego de ciencia ficción inventado en Edmonton hace unos 10 años. El segundo hecho interesante es que cobran $ 300 para desbloquear sus datos rescatados y yo solía cobrar $ 300 para las reparaciones de datos de GL, AR, IC, PR, etc. Eso dijo que dudo mucho que los Shadow Brokers tengan su sede en Edmonton, donde vivo. p>

La versión dos está fuera y el interruptor para matar no funcionará

Se ha informado que la creación del sitio web enlace que funciona como un interruptor de activación para el ransomware ha sido modificado por una nueva versión de "Wanna Cry". No he leído muchos artículos que confirmen esto pero, en cualquier caso, los orificios SMBv1 y SMBv2 deben estar tapados. La gente no debería confiar en que el interruptor de interrupción funcione con futuras versiones de "Wanna Cry" o cualquier nuevo malware / ransomware que utilice el agujero de bucle.

Si se pregunta qué dice benignamente el sitio web de kill-switch, es:

  

sinkhole.tech - donde los robots hacen una gran fiesta y los investigadores   más difícil ...

Teorías de la conspiración de Microsoft

Los que no creen en las conspiraciones pueden presionar el botón Atrás. La NSA y Microsoft sabían que esto vendría de acuerdo con este artículo que circula una petición que exige saber lo que Microsoft sabía, cuándo, dónde y cómo . Las acusaciones se basan en el momento en que los agentes Shadow Brokers, la NSA fueron pirateados y las actualizaciones de seguridad de MS.

    
respondido por el WinEunuuchs2Unix 17.05.2017 - 02:55
fuente
6
  

Parece ser un ataque estándar de phishing / ransomware, pero también se está propagando como un gusano una vez que entra en una red objetivo.

Los servidores de Windows generalmente están detrás de firewalls que no pasan SMB. Una vez que la primera máquina en una red protegida está infectada, el gusano propaga el ataque utilizando el exploit SMB mencionado anteriormente.

Me gustaría obtener la confirmación del lado de phishing del ataque.  Microsoft (desde hace dos días) todavía no tenía información sobre el compromiso inicial:

  

No hemos encontrado evidencia del vector de entrada inicial exacto utilizado por   esta amenaza, pero hay dos escenarios que creemos que son altamente   Posibles explicaciones para la propagación de este ransomware:

     

Llegada a través de correos electrónicos de ingeniería social diseñados para engañar a los usuarios   ejecutar el malware y activar la funcionalidad de propagación de gusanos con el   SMB explota la infección a través de SMB explota cuando una computadora no parcheada   Es direccionable desde otras maquinas infectadas.   ( enlace )

[Editar] Acabo de ver que Forbes no cree que el phishing sea un componente importante de este ataque. vea enlace :

  

"... es poco probable que los correos electrónicos de suplantación de identidad (phishing) fueran el método de infección principal, dado que pocos han compartido correos electrónicos con el malware. La división Talos de Cisco no cree que se hayan utilizado correos electrónicos de suplantación de identidad ..."

Eso dejaría a los servidores desprotegidos con puertos SMB expuestos a Internet abierta como el principal vector de infección. Eso podría explicar algunos de los objetivos de alto perfil informados que tienen redes ampliamente extendidas (FedEx, NHS, etc.). Solo se necesitaría una computadora no expuesta que también se conectara a una red más amplia para arrancar una infección.

    
respondido por el IAmBarry 15.05.2017 - 16:44
fuente
4

Además de las respuestas anteriores, que solo mencionan Windows, y dado que hay una pregunta " ¿WannaCry infecta Linux? " que apunta a este, me gustaría agregar que las máquinas Linux también pueden infectarse si están ejecutando Wine: enlace

    
respondido por el dr01 16.05.2017 - 16:39
fuente
3

Si bien la instalación de parches para proveedores siempre es una buena idea, también vale la pena señalar que el malware lleva una comprobación de DNS en la activación. He visto un dominio reportado:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Pero es probable que haya tal vez más. Por lo tanto, debería ser posible monitorear su red para detectar nuevas infecciones usando algo como esto (en un cuadro de Linux / Unix) que prueba una cadena muy larga como un componente de dominio en una consulta de DNS:

tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'

(no probado: YMMV)

    
respondido por el symcbean 15.05.2017 - 13:44
fuente
0

Responderé a la parte "cómo proteger" un poco concisamente

0. Actúa rápido

El malware todavía se está extendiendo. Si su sistema no está protegido, su vida útil restante se contabiliza en horas

1. Asegúrese de realizar las actualizaciones del sistema requeridas

Microsoft ya ha lanzado parches para todas las versiones de Windows en mantenimiento. Quizás Windows ME no haya sido parchado, de lo contrario, vaya al # 4

2. Copia de seguridad

Puedes defender tu infraestructura con cualquier ransomware, o al menos limitar su daño, aplicando una política de copia de seguridad válida. La copia de seguridad en una máquina vulnerable no tiene sentido en esta situación. La sincronización con la nube puede ser peligrosa

3. Cortafuegos desde el exterior

Tanto si es un usuario doméstico como una gran empresa, siempre aplicará la regla de oro del cortafuegos: deshabilite todo, excepto los servicios que realmente está ejecutando.

¿Ejecutando una aplicación web? Abrir solo los puertos 80/443. ¿Correr torrent en casa? Use upnp o elija sus puertos para abrir en su módem.

No utilice DMZ. Si realmente necesitas SMB tienes que pensarlo cuidadosamente. Discutir sobre ServerFault puede ser bueno.

4. Rangos de aire o máquinas viejas de cortafuegos

Si posee un sistema heredado que es realmente crítico para el negocio y no se puede actualizar en poco tiempo, considere la posibilidad de hacerlo. La virtualización de una versión antigua de Windows es inútil porque el malware se puede propagar en su red de máquinas obsoletas. Si no puede usar el firewall y / o deshabilitar SMB por completo, la última opción es quitar el cable de red hasta que encuentre una solución mejor

    
respondido por el usr-local-ΕΨΗΕΛΩΝ 19.05.2017 - 16:40
fuente

Lea otras preguntas en las etiquetas