El pasado 12/05/17 un virus se hizo famoso por un masivo ataque... ¿pero de que se trata? y ¿a quienes afecta?
Primero que nada, el ataque en si es del tipo ransomware, ¿que es?:
Un ransomware (del inglés ransom, 'rescate', y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Básicamente el virus WannaCry, encripta los archivos del equipo afectado, esto quiere decir, que bloquea el acceso a los mismos bajo una codificación por medio de una llave la cual permite revertir el efecto. Esta solución es la que finalmente intentan vender a los afectados, para revertir la encriptación. Por eso también podemos hacer una analogía con lo que seria un secuetro, donde los secuestrados son nuestros datos, no piden un rescate en bitcoins (moneda digital p2p) y cuando pagamos nos devuelven los mismos.
WannaCry es el nombre de este y se aprovecha de una vulerabilidad de los SOs de Microsoft, entre ellos Windows XP, Windows 8 y Windows Server 2003, los usuarios de Windows 10 no son afectados por este ataque.
El ataque WannaCry usa inicialmente un código de ejecución remoto SMBv1, una vulnerabilidad de los sistemas Microsoft Windows. Para esto se aprovecha de un exploit ya existente que se atribuye su desarrollo a la agencia NSA (National Security Agency de EEUU), esta vulnerabilidad existe debido a que el servidor SMBv1 en varias versiones de Windows acepta paquetes especialmente diseñados para ejecutar código en la computadora afectada.
La actualización lanzada por Microsoft el 14 de Marzo de 2017 resuelve esta falla de seguridad, a través de la actualización MS17-010, para todas las versiones actualmente soportadas de Windows, Windows 7, 8.1 y 10, asi como las versiones server actuales 2008, 2012 y 2016. El 13 de Mayo, Microsoft fue un poco mas allá e hizo algo inusual, publico actualizaciones para versiones ya caducas, como XP, 8 y 2003 server.
Conclusión, todos los usuarios que no tengan la actualización de esa fecha, pueden ser atacados por este virus, y eso suele suceder mucho en algunas empresas así como usuarios finales que desactivan las actualizaciones por comodidad...
How to prevent WannaCry infection?
En edición...
FUENTES:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://en.wikipedia.org/wiki/EternalBlue
https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/
Primero que nada, el ataque en si es del tipo ransomware, ¿que es?:
Un ransomware (del inglés ransom, 'rescate', y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Básicamente el virus WannaCry, encripta los archivos del equipo afectado, esto quiere decir, que bloquea el acceso a los mismos bajo una codificación por medio de una llave la cual permite revertir el efecto. Esta solución es la que finalmente intentan vender a los afectados, para revertir la encriptación. Por eso también podemos hacer una analogía con lo que seria un secuetro, donde los secuestrados son nuestros datos, no piden un rescate en bitcoins (moneda digital p2p) y cuando pagamos nos devuelven los mismos.
WannaCry es el nombre de este y se aprovecha de una vulerabilidad de los SOs de Microsoft, entre ellos Windows XP, Windows 8 y Windows Server 2003, los usuarios de Windows 10 no son afectados por este ataque.
El ataque WannaCry usa inicialmente un código de ejecución remoto SMBv1, una vulnerabilidad de los sistemas Microsoft Windows. Para esto se aprovecha de un exploit ya existente que se atribuye su desarrollo a la agencia NSA (National Security Agency de EEUU), esta vulnerabilidad existe debido a que el servidor SMBv1 en varias versiones de Windows acepta paquetes especialmente diseñados para ejecutar código en la computadora afectada.
La actualización lanzada por Microsoft el 14 de Marzo de 2017 resuelve esta falla de seguridad, a través de la actualización MS17-010, para todas las versiones actualmente soportadas de Windows, Windows 7, 8.1 y 10, asi como las versiones server actuales 2008, 2012 y 2016. El 13 de Mayo, Microsoft fue un poco mas allá e hizo algo inusual, publico actualizaciones para versiones ya caducas, como XP, 8 y 2003 server.
Conclusión, todos los usuarios que no tengan la actualización de esa fecha, pueden ser atacados por este virus, y eso suele suceder mucho en algunas empresas así como usuarios finales que desactivan las actualizaciones por comodidad...
How to prevent WannaCry infection?
- Make sure that all hosts have enabled endpoint anti-malware solutions.
- Install the official Windows patch (MS17-010) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, which closes the SMB Server vulnerability used in this ransomware attack.
- Scan all systems. After detecting the malware attack as MEM:Trojan.Win64.EquationDrug.gen, reboot the system. Make sure MS17-010 patches are installed.
- Backup all important data to an external hard drive or cloud storage service.
En edición...
FUENTES:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://en.wikipedia.org/wiki/EternalBlue
https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/
No hay comentarios:
Publicar un comentario