Entiendo que WannaCry se propaga explotando la vulnerabilidad SMBv1, que se corrige con el parche MS17-010.
¿Esto significa que incluso con el parche instalado, WannaCry aún puede infectar la computadora, si el usuario la descarga y ejecuta, pero no se propaga a través de la red de la computadora?
¿Windows Defender / algún software de seguridad actual bloquea la ejecución de WannaCry si, por ejemplo, un usuario lo ejecuta?
Si descarga y ejecuta WannaCry, seguirá bloqueando sus archivos e intentará infectar otras computadoras sin parches en la red.
WannaCry solo necesita el exploit SMB para convertir en un sistema, no para salir. Una vez que tiene el control de su sistema, no necesita la vulnerabilidad para ejecutar código arbitrario, incluido el gusano. El parche MS17-010 evita que su computadora se infecte a través de esta vulnerabilidad, pero no evita que su computadora infecte otras máquinas en la misma red si esas otras máquinas no están parcheadas.
Para proteger otras computadoras en la red, necesita bloquear todo el tráfico saliente al puerto 445. No he visto (aún) a WannaCry intentar evadir un puerto saliente bloqueado.
Hay varias variantes de WannaCry por ahí. Todo esto parece ser detectado por los principales programas antivirus, incluido Windows Defender. Puede ver una lista completa del software antivirus que detecta una versión particular en Virus Total, por ejemplo. para esta muestra . comae.io parece tener una compilación decente de variantes encontradas en la naturaleza que puede search en Virus Total.
Hay dos actores en la defensa contra WannaCry.
Por un lado, está Microsoft, responsable de arreglar el modo de propagación similar a un gusano, aprovechando como dijiste la vulnerabilidad de MS17-010 y usando los exploits EternalBlue y DouplePulsar lanzados por los Shadow Brokers.
Por otro lado, hay proveedores de antivirus que necesitan actualizar sus firmas para proteger realmente el sistema.
Entonces, si instala los parches (supongo que se refiere a los parches de Microsoft), está protegiendo su red desde el punto de vista de que no está permitiendo que el malware se propague a través del MS17-010. Sin embargo, aún necesita un antivirus actualizado para proteger los archivos en su sistema .
ACTUALIZAR
En aras de la integridad, como señala Knbk en su respuesta, WannaCry puede infectar otras máquinas de la red sin explotar MS17-010. Eso sería posible si esas máquinas compartieran volúmenes con el host infectado, pero si ese no es el caso, WannaCry utiliza el exploit para moverse horizontalmente a través de la red, por lo que llega a más computadoras. Precisamente, este comportamiento similar a un gusano es lo que lo hizo sobresalir del resto del ransomware, porque generalmente el ransomware se basa en engañar al usuario para que se infecte.
Las versiones anteriores de WannaCry no se propagaron a través de SMB, así que sí, es absolutamente posible que su PC se infecte con WannaCry.
Lea más aquí: enlace
Bitdefender, Symantec, Norton y, probablemente, todos los principales software antivirus deberían poder detectar y bloquear WannaCry en sus versiones más actualizadas.
Se sugirió que primero se propagara por correo electrónico, pero por lo que sé, todavía no está confirmado.
También ten en cuenta que hay varias versiones de WannaCry, y no todas se propagan de la misma manera.
Lea otras preguntas en las etiquetas malware ransomware wannacry