Un ransomware ataca a múltiples compañías

El ransomware que ha infectado y cifrado las máquinas se trata de una versión mejorada del ransomware WannaCry. Pertenece a la familia Wcry y cifra los datos sensibles del usuario. En sus versiones iniciales, los datos podían ser descifrados, sin embargo en versiones posteriores esto fue evitado por los atacantes.

En la actualidad utiliza un cifrado AES-128 para afectar a distintas extensiones de archivo, y cifra una gran cantidad de extensiones. Entre ellas, se incluyen archivos de código fuente, máquinas virtuales (.vdi, .vmdk) y correos (.eml). Señalar que si se cifran las máquinas virtuales quedarían inaccesibles.

Actualmente, los creadores del ransomware son los que distribuyen el programa para descifrar los archivos, pero únicamente previo pago de una cantidad de entre 300€ a 600€. El método de pago por supuesto, en Bitcoins. Aunque es conocido que las muestras que han afectado en la red de Telefónica solicitaban 300$ de rescate.

La nota de rescate se encuentra disponible en distintos idiomas, entre ellos los más populares para asegurarse que los usuarios de distintos países sigan las instrucciones de recuperación de archivos. La extensión de los archivos cifrados es .wncry, mientras que la nota del ransom queda como «@Please_Read_Me@«. El contenido de este archivo se puede ver a continuación:

El proceso de infección está compuesto por distintas fases. En primera instancia, trata de dar permisos de administrador a todos los usuarios. Posteriormente, ejecuta un script en batch compuesto por un número aleatorio [N.ALEATORIO].bat que a su vez ejecuta un fichero .vbs. Conforme avanza la infección, se eliminan las shadow copies de manera silenciosa, así como la posibilidad de restaurar el equipo a una etapa anterior. También se borra el backup del catálogo de Windows. También localiza los ficheros a cifrar, siempre que estos pertenezcan al abanico de extensiones anteriormente mencionadas. Una vez terminado, añade entradas de registro para la ejecución del ransomware y su herramienta al iniciar el equipo:

Cuando este proceso finaliza, se alerta al usuario de que se han cifrado todos sus ficheros y explica cómo descifrarlos y el método de pago.

Los ataques no solo se han centrado en compañías españolas, en las últimas horas se ha confirmado que el servicio de salud inglés (NHS) se ha visto afectado por una variante similar. Hacía mucho tiempo que no se veía un ataque tan global y con tanta incidencia. Aunque las primeras informaciones se han centrado en Telefónica según ha pasado el tiempo se ha confirmado que la incidencia es global. WannaCry ya se extiende por más de 75 países. 

Como es habitual la recomendación pasa por mantener los equipos actualizados. Todo indica que para la propagación del malware por la red interna el malware emplea una vulnerabilidad en el tratamiento de mensajes SMB (Server Message Block 1.0), que quedó corregida en la actualización del boletín de Microsoft MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

parece que confirman que han «gusanizado» el ransomware para que se propagara por redes Windows, vulnerabilidad/parche MS17-010 https://t.co/A7kYL5qRdv

— Bernardo Quintero (@bquintero) 12 de mayo de 2017

//platform.twitter.com/widgets.js

MD5: 84c82835a5d21bbcf75a61706d8ab549

SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467

SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

Authentihash: 4b2c4c7f06f5ffaeea6efc537f0aa66b0a30c7ccd7979c86c7f4f996002b99fd

Authentihash: ba936082512d7f462df284097992e756bede1cae6146044f72519f8b4b4cff57

Más información:

Ataque masivo de ransomware

Oleada de ransomware afecta a multitud de equipos

Importante oleada de ransomware afecta a multitud de equipos

Fernando Díaz