¡ Por favor active Javascript! / Please turn on Javascript!
Incidencias y resolución de problemas de aplicaciones (Gratuitas o con licencias originales)
Avatar de Usuario
Editorial
Nivel 1
Mensajes: 40
Registrado: 03 Abril 2017, 12:56
C. Prof.: Usuario Avanzado
Contactar:

Ataques por ransomware WannaCry (WannaCrypt)

Mensajepor Editorial » 12 Mayo 2017, 17:47

Imagen

Se está produciendo una infección masiva de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate. Así mismo, podría infectar al resto de ordenadores vulnerables de la red.

Información del Ministerio de Interior: http://www.minetad.gob.es/es-ES/Gabinet ... 70512.aspx

Algunos de los ataques observados usan tácticas de phishing comunes, incluyendo adjuntos maliciosos. Los clientes deben tomar precauciones al abrir documentos de fuentes no confiables o desconocidas. Para los clientes de Office 365 Microsoft esta continuamente supervisando y actualizando para protegerse contra este tipo de amenazas incluyendo Ransom: Win32 / WannaCrypt.

Un ataque masivo de ransomware WannaCry, que afecta a sistemas Windows, ha sido sufrido por empresas como Telefónica y redes hospitalarias de Reino Unido

Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.

El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando la vulnerabilidad citada en el párrafo anterior que permite la ejecución de comandos remota a través de Samba (SMB) y se distribuye al resto de máquinas Windows que haya en esa misma red.

Imagen

Los sistemas afectados que disponen de actualización de seguridad son:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

Medidas de prevención y mitigación

El CCN-CERT recomienda lo siguiente:

Actualizar los sistemas a su última versión o parchear según informa el fabricante
Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
El CCN-CERT dispone de un Informe de Medidas de seguridad contra el ransomware, en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos, en este tipo de ataques.

Tal y como se indica en el informe de amenazas sobre ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Más información: https://www.ccn-cert.cni.es/seguridad-a ... nolas.html

Mejor Respuesta por Cazador » 12 Mayo 2017, 18:45
Microsoft en marzo, lanzo una actualización de seguridad que soluciona la vulnerabilidad que estos ataques están explotando. Aquellos que tienen Windows Update habilitado están protegidos contra los ataques a esta vulnerabilidad. Para aquellas organizaciones que aún no han aplicado la actualización de seguridad, le sugerimos que implemente inmediatamente el boletín de seguridad de Microsoft MS17-010.

Parche disponible para Windows ( Microsoft Security Bulletin MS17-010 )

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).

https://technet.microsoft.com/library/s ... rF2RfTQEog

Desde ELSATE.com estamos trabajando con los clientes para proporcionar asistencia adicional a medida que evoluciona esta situación, y actualizará este tema con más información en cuanto sea necesario.
IR AL MENSAJE COMPLETO ➙
ELSATE.com es un nuevo portal informativo para proporcionar a nuestros lectores noticias sobre tecnología, internet, juegos, consolas y ¡mucho más!


Avatar de Usuario
Cazador
Colaborador
Mensajes: 1644
Registrado: 16 Abril 2015, 19:16
C. Prof.: Analista de Sistemas
Contactar:

Mensajepor Cazador » 12 Mayo 2017, 18:45

Microsoft en marzo, lanzo una actualización de seguridad que soluciona la vulnerabilidad que estos ataques están explotando. Aquellos que tienen Windows Update habilitado están protegidos contra los ataques a esta vulnerabilidad. Para aquellas organizaciones que aún no han aplicado la actualización de seguridad, le sugerimos que implemente inmediatamente el boletín de seguridad de Microsoft MS17-010.

Parche disponible para Windows ( Microsoft Security Bulletin MS17-010 )

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).

https://technet.microsoft.com/library/s ... rF2RfTQEog

Desde ELSATE.com estamos trabajando con los clientes para proporcionar asistencia adicional a medida que evoluciona esta situación, y actualizará este tema con más información en cuanto sea necesario.
Redactor de ELSATE.com. Aficionado de la Tecnología, los Videojuegos, la Música Electrónica y el Deporte.


Avatar de Usuario
Cazador
Colaborador
Mensajes: 1644
Registrado: 16 Abril 2015, 19:16
C. Prof.: Analista de Sistemas
Contactar:

Mensajepor Cazador » 13 Mayo 2017, 13:46

Utilizando programas para decompilar alguno de los ejecutables causantes de este problema de seguridad en las últimas horas, como Hex-Rays decompiler se ha visto que en parte de su código se hacia referencia a llamadas a un sitio web o URL. Este en caso de no responder era el detonante de la activación del ransomware WannaCry.

Una vez registrado el dominio al que hacia referencia se ha "desactivado" de forma temporal la propagación y ejecución del ransomware WannaCry de esta versión.

A continuación el ejemplo del código :satero:

Código: Seleccionar todo

qmemcpy(&szUrl, sinkholeddomain, 0x39u);
v8 = 0;
v9 = 0;
v10 = 0;
v11 = 0;
v12 = 0;
v13 = 0;
v14 = 0;
v4 = InternetOpenA(0, 1u, 0, 0, 0);
v5 = InternetOpenUrlA(v4, &szUrl, 0, 0, 0x84000000, 0);
if ( v5 )
{
   InternetCloseHandle(v4);
   InternetCloseHandle(v5);
}
else
{
   InternetCloseHandle(v4);
   InternetCloseHandle(0);
   detonate(); //Esto iniciaba el ransomware WannaCry
   result = 0;
}
   return result;

Redactor de ELSATE.com. Aficionado de la Tecnología, los Videojuegos, la Música Electrónica y el Deporte.




MÁS NOTICIAS



Volver a “General”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados