(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor): malware, gusanos de red y ransomware. El programa cifra casi todos los archivos almacenados en la computadora y exige un rescate para descifrarlos. En los últimos años se han registrado una gran cantidad de malware de este tipo, pero WannaCry destaca entre ellos por la escala de su distribución y las técnicas utilizadas.

Este virus de cifrado comenzó a propagarse aproximadamente a las 10 de la mañana y ya en la tarde del 12 de mayo los medios de comunicación comenzaron a informar sobre numerosas infecciones. Varias publicaciones escriben que se llevó a cabo un ataque de piratas informáticos contra las mayores participaciones, incluido Sberbank.

Pregunta de usuario. “Mi computadora portátil personal actual, que ejecuta Windows 7 Home Premium, instala varios parches automáticamente cuando la apago...

Y la tableta W10 que tengo instala automáticamente nuevos parches cuando se enciende... ¿Las PC de escritorio corporativas no actualizan automáticamente su sistema operativo cuando se encienden o apagan? En realidad - ¿Por qué?

Después de un tiempo, el conjunto completo de exploits se puso a disposición del público junto con vídeos de formación. Cualquiera puede usarlo. ¿Qué es exactamente lo que sucedió? El kit de explotación incluye la herramienta DoublePulsar. Cuando el puerto 445 está abierto y la actualización MS 17-010 no está instalada, utilizando la vulnerabilidad de clase de ejecución remota de código (la capacidad de infectar una computadora de forma remota (exploit NSA EternalBlue)), es posible interceptar llamadas al sistema e inyectar código malicioso en memoria. No es necesario recibir ningún correo electrónico: si tiene una computadora con acceso a Internet, con el servicio SMBv1 en ejecución y sin el parche MS17-010 instalado, el atacante lo encontrará él mismo (por ejemplo, mediante direcciones de fuerza bruta).

Análisis de WannaCry

El troyano WannaCry (también conocido como WannaCrypt) cifra archivos con ciertas extensiones en su computadora y exige un rescate de $300 en bitcoins. Se dan tres días para el pago y luego el monto se duplica.

Para el cifrado se utiliza el algoritmo americano AES con una clave de 128 bits.

En el modo de prueba, el cifrado se realiza utilizando una segunda clave RSA conectada al troyano. En este sentido, es posible descifrar los archivos de prueba.

Durante el proceso de cifrado, se seleccionan varios archivos al azar. El troyano ofrece descifrarlos de forma gratuita, para que la víctima pueda estar convencida de que podrá descifrar el resto después de pagar el rescate.

Pero estos archivos selectivos y el resto están cifrados con claves diferentes. Por lo tanto, ¡no hay garantía de descifrado!

Signos de una infección WannaCry

Una vez en la computadora, el troyano se ejecuta como un servicio del sistema de Windows llamado mssecsvc2.0 (nombre visible: Servicio Microsoft Security Center (2.0)).

El gusano es capaz de aceptar argumentos de línea de comando. Si se especifica al menos un argumento, intenta abrir el servicio mssecsvc2.0 y configurarlo para que se reinicie en caso de error.

Después del lanzamiento, intenta cambiar el nombre del archivo C:\WINDOWS\tasksche.exe a C:\WINDOWS\qeriuwjhrf, lo guarda desde los recursos del troyano codificador en el archivo C:\WINDOWS\tasksche.exe y lo inicia con el comando /i parámetro. Cuando se inicia, el troyano recibe la dirección IP de la máquina infectada e intenta conectarse al puerto TCP 445 de cada dirección IP dentro de la subred; busca máquinas en la red interna e intenta infectarlas.

El gusano se apaga automáticamente 24 horas después de iniciarse como servicio del sistema.

Para propagarse, el malware inicializa Windows Sockets, CryptoAPI y lanza varios hilos. Uno de ellos enumera todas las interfaces de red en la PC infectada y sondea los hosts disponibles en la red local, el resto genera direcciones IP aleatorias. El gusano intenta conectarse a estos hosts remotos utilizando el puerto 445. Si está disponible, infecta los hosts de la red en un hilo separado utilizando una vulnerabilidad en el protocolo SMB.

Inmediatamente después de su lanzamiento, el gusano intenta enviar una solicitud a un servidor remoto cuyo dominio está almacenado en el troyano. Si se recibe una respuesta a esta solicitud, se cierra.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Protección contra WannaCrypt y otros ransomware

Para protegerse contra el ransomware WannaCry y sus futuras modificaciones, debe:

1. Deshabilite los servicios no utilizados, incluido SMB v1.

• Es posible desactivar SMBv1 usando PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $falso
• A través del registro:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, parámetro SMB1 de tipo DWORD = 0
• También puede eliminar el servicio en sí, que es responsable de SMBv1 (sí, un servicio separado de SMBv2 es personalmente responsable de ello):
  sc.exe configuración lanmanworkstation depende=bowser/mrxsmb20/nsi
  sc.exe configuración mrxsmb10 inicio = deshabilitado

1. Utilice un firewall para cerrar los puertos de red no utilizados, incluidos los puertos 135, 137, 138, 139, 445 (puertos SMB).

Figura 2. Ejemplo de bloqueo del puerto 445 mediante un firewallventanas

Figura 3. Ejemplo de bloqueo del puerto 445 mediante un firewallventanas

1. Utilice un antivirus o firewall para restringir el acceso de las aplicaciones a Internet.

Figura 4. Ejemplo de restricción del acceso a Internet a una aplicación mediante Firewall de Windows