Este ransomware está atacando a todo el mundo justo ahora #WannaCry [Actualizado: ya paró, por ahora]

Actualización al final de la nota

En este momento hay un ransomware atacando en más de 99 países alrededor del mundo y sigue infectando más y más máquinas.

Desde el día de hoy en la mañana, una variedad del ransomware conocido como WannaCry, en este caso WanaCrypt0r 2.0 comenzó a infectar computadoras a lo largo de Europa, algunos de los más famosos casos  fue el de Telefónica, Gas Natural e Iberdrola en España, Telefónica en Chile, aerolíneas LATAM pero peor aún, está afectando las bases de datos de muchos importantes hospitales en Reino Unido lo que pone vidas en peligro.

El ransomware parece estar esparciéndose de modo “peer to peer” y según el investigador de reino unido conocido por su sitio MalwareTech la versión del ransomware que está atacando en este momento, está aprovechando una vulnerabilidad en equipos con Windows conocida como MS17-010, dicha vulnerabilidad, irónicamente, fue una de las filtradas por Shadow Brokers con todo tipo de herramientas y vulnerabilidades que la NSA estaba utilizando, es decir, la vulnerabilidad que usa este ransomware para infectar equipos, es una que la NSA estaba usando y por eso no la había reportado a Microsoft. Gracias NSA (sarcasmo).

Sin embargo Microsoft desde marzo ya había parchado esta vulnerabilidad, sin embargo como suele pasar, muchos usuarios y compañías no tienen las últimas actualizaciones de seguridad y es por lo que el malware sigue esparciéndose.

Hasta el momento, KasperskyLabs y otros investigadores, reportan que 75,000 equipos han sido atacadas por WannaCry en 99 países que incluyen la mayor parte de Eurasia, EUA y ya se está comenzando a esparcir a latinoamérica.

Lo peor de WannaCry es que como les decimos arriba, ya que un equipo ejecuta el malware, todos los equipos en la red local pueden ser infectados y como todo  Ransomware, encripta los documentos en el disco duro y bloquea el acceso, pidiendo que se deposite $300 dólares en bitcoins para desencriptar los archivos, sin embargo, como muchos expertos afirman, pagar no es garantía de que los atacantes manden la clave para desencriptar , de hecho pagar solo da un 30 a 40% de posibilidad de poder desencriptar los archivos.

¿Cómo me protejo?

• En este momento es importante tomar algunas medidas precautorias, si estás usando equipos con Windows, hay que actualizarlos inmediatamente con los últimos parches de seguridad, y de preferencia usar el sistema automático de Windows y no tratar de descargarlo de internet manualmente, pero en todo caso, en esta página de Microsoft vienen los detalles de la vulnerabilidad y el parche específico que fue lanzado en marzo.
• Aunque al parecer este malware no se está esparciendo por mails, no está de más que traten de no descargar o abrir links de mails aunque sean de personas conocidas a  menos que puedas asegurar que la otra persona realmente envió el mail y el archivo no pueda estar infectado
• Lo más importante, respalda toda tu información en un disco duro externo u otro medio, también si estás en un equipo de una empresa o escuela, pide al administrador que actualice los equipos y de nuevo, respalda la información.

Por el momento el ataque sigue y  hay algunas cosas que los administradores pueden hacer para reducir la posibilidad de ataque. También recuerden que antes de pagar por un ransomware ya hay herramientas y grupos que tienen métodos para desinfectar algunos tipos de ransomware, aunque no siempre se puede recuperar la información.

La escala del ataque es un tanto inusual y al momento no se sabe si así lo querían los atacantes o cuáles son sus intenciones ¿podría ser una llamada de atención a los métodos de la NSA o un verdadero ataque por malicia?

Actualización (8:45 pm):

El ataque ha parado gracias a que expertos notaron que el malware estaba usando un dominio como killswitch (un “botón” de stop por decirlo así) y MalwareTech pudo registrar el dominio, por lo que paró el esparcimiento del ransomware. Es decir, los atacantes hicieron que el programa checara este dominio, si el dominio estaba en funcionamiento entonces paraba la infección a más máquinas, debido a que MalwareTech registró y activó el dominió, WanaCrypt0r 2.0  dejó de esparcirse (más detalles del dominio y las “entrañas” de WanaCryptor 2.0 aquí ).

Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero

— Warren Mercer (@SecurityBeard) May 12, 2017

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) May 13, 2017

Por el momento, estas son buenas noticias, pero como MalwareTech hace notar, solo basta con que los atacantes cambien ese dominio en una nueva versión y podrán volver a esparcir el ransomware por eso es importante parchear la vulnerabilidad lo más rápido posible y para las personas que ya fueron infectadas, lamentablemente esto no ayuda.

So long as the domain isn’t revoked, this particular strain will no longer cause harm, but patch your systems ASAP as they will try again.

— MalwareTech (@MalwareTechBlog) May 13, 2017

It’s very important everyone understands that all they need to do is change some code and start again. Patch your systems now! https://t.co/L4GIPLGKEs

— MalwareTech (@MalwareTechBlog) May 13, 2017

Así que por el momento ya podemos tranquilizarnos un poco, al menos hasta que vuelvan a intentar usar una nueva versión del malware.

Esto está pasando en México, en una computadora de mi oficina #WannaCry pic.twitter.com/HIX1Uo1HDg

— José Luis Leguízamo (@leguizamou) May 13, 2017