Según informan los medios rusos, el trabajo de los departamentos del Ministerio del Interior en varias regiones de Rusia se ha visto interrumpido debido a un ransomware que ha infectado muchos ordenadores y amenaza con destruir todos los datos. Además, el operador de comunicaciones Megafon fue atacado.

Estamos hablando del troyano ransomware WCry (WannaCry o WannaCryptor). Cifra la información en la computadora y exige un rescate de $300 o $600 en Bitcoin para descifrarla.

@[correo electrónico protegido], archivos cifrados, extensión WNCRY. Se requiere una utilidad e instrucciones de descifrado.

WannaCry cifra archivos y documentos con las siguientes extensiones agregando .WCRY al final del nombre del archivo:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Ataque WannaCry en todo el mundo

Se registraron ataques en más de 100 países. Rusia, Ucrania y la India están experimentando los mayores problemas. Los informes de infección por virus provienen del Reino Unido, Estados Unidos, China, España e Italia. Cabe señalar que el ataque de los piratas informáticos afectó a hospitales y empresas de telecomunicaciones de todo el mundo. En Internet está disponible un mapa interactivo de la propagación de la amenaza WannaCrypt.

¿Cómo se produce la infección?

Como dicen los usuarios, el virus llega a sus ordenadores sin que ellos realicen ninguna acción y se propaga sin control a través de las redes. En el foro de Kaspersky Lab señalan que ni siquiera un antivirus habilitado garantiza la seguridad.

Se informa que el ataque del ransomware WannaCry (Wana Decryptor) se produce a través de la vulnerabilidad del Boletín de Seguridad de Microsoft MS17-010. Luego se instaló un rootkit en el sistema infectado, mediante el cual los atacantes lanzaron un programa de cifrado. Todas las soluciones de Kaspersky Lab detectan este rootkit como MEM:Trojan.Win64.EquationDrug.gen.

La infección supuestamente se produjo unos días antes, pero el virus sólo se manifestó después de haber cifrado todos los archivos del ordenador.

Cómo eliminar WanaDecryptor

Podrá eliminar la amenaza utilizando un antivirus; la mayoría de los programas antivirus ya detectarán la amenaza. Definiciones comunes:

avast Win32: WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Rescate.WanaCrypt0r, microsoft Rescate:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Si ya lanzó la amenaza en su computadora y sus archivos han sido cifrados, descifrarlos es casi imposible, ya que al explotar la vulnerabilidad se inicia un cifrado de red. Sin embargo, ya están disponibles varias opciones para herramientas de descifrado:

Nota: Si sus archivos estaban cifrados y no hay una copia de seguridad, y las herramientas de descifrado existentes no ayudaron, se recomienda guardar los archivos cifrados antes de limpiar la amenaza de su computadora. Serán útiles si en el futuro se crea una herramienta de descifrado que funcione para usted.

Microsoft: instalar actualizaciones de Windows

Microsoft dijo que los usuarios con el antivirus gratuito de la compañía y la Actualización del sistema de Windows habilitada estarán protegidos de los ataques de WannaCryptor.

Las actualizaciones del 14 de marzo corrigen la vulnerabilidad del sistema a través del cual se distribuye el troyano ransomware. Hoy se agregó la detección a las bases de datos antivirus de Microsoft Security Essentials/Windows Defender para proteger contra un nuevo malware conocido como Ransom:Win32.WannaCrypt.

• Asegúrese de que su antivirus esté activado y que las últimas actualizaciones estén instaladas.
• Instala un antivirus gratuito si tu ordenador no tiene ninguna protección.
• Instale las últimas actualizaciones del sistema usando Windows Update:
  • Para Ventanas 7, 8.1 Desde el menú Inicio, abra Panel de control > Windows Update y haga clic en Buscar actualizaciones.
  • Para ventanas 10 Vaya a Configuración > Actualización y seguridad y haga clic en "Buscar actualizaciones".
• Si instala las actualizaciones manualmente, instale el parche oficial de Microsoft MS17-010, que soluciona la vulnerabilidad del servidor SMB utilizada en el ataque del ransomware WanaDecryptor.
• Si su antivirus tiene protección contra ransomware, actívela. También tenemos una sección separada en nuestro sitio web, Protección contra ransomware, donde puede descargar herramientas gratuitas.
• Realice un análisis antivirus de su sistema.

Los expertos señalan que la forma más sencilla de protegerse de un ataque es cerrar el puerto 445.

• Escriba sc stop lanmanserver y presione Enter
• Ingrese para Windows 10: sc config lanmanserver start=disabled, para otras versiones de Windows: sc config lanmanserver start=disabled y presione Enter
• Reinicia tu computadora
• En el símbolo del sistema, ingrese netstat -n -a | findtr "ESCUCHANDO" | findstr ":445" para asegurarse de que el puerto esté deshabilitado. Si hay líneas vacías, el puerto no está escuchando.

Si es necesario, vuelva a abrir el puerto:

• Ejecute el símbolo del sistema (cmd.exe) como administrador
• Ingrese para Windows 10: sc config lanmanserver start=auto, para otras versiones de Windows: sc config lanmanserver start= auto y presione Enter
• Reinicia tu computadora

Nota: Windows utiliza el puerto 445 para compartir archivos. Cerrar este puerto no impide que la PC se conecte a otros recursos remotos, pero otras PC no podrán conectarse al sistema.