Si trabajas o utilizas un dispositivo Windows, este post te interesa. El viernes pasado, un ataque masivo de ransomware afectó a equipos, redes y empresas de más de 70 países. Este ataque afectó a sistemas Windows cifrando todos sus archivos y los de las unidades de red, e infectando al resto de sistemas Windows que haya en esa misma red. Y se avisa que el peligro no ha pasado.
Si tienes cualquier duda, escríbenos a contact@keykumo.com. Podemos ayudarte.
¿Ransomware o ramonwer?
Pero… ¿qué es eso del ransomware? El ransonware es un programa malicioso que secuestra nuestra nuestros archivos y en el que nos piden un rescate por ellos. Es decir, funciona como un secuestro en la vida real pero, en lugar de personas, los que se encuentran cautivos son nuestros archivos. Los secuestradores piden un rescate, generalmente en bitcoins (moneda virtual e irrastreable), y aumentan la tarifa según pasan las horas o se intenta tener una comunicación con ellos mediante mail.
WannaCry
Existen muchos tipos de ransomware, pero el que ha atacado a nivel mundial tiene un nombre: WannaCry. Este virus vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar y es capaz de comprometer toda la red corporativa de una empresa infectando un solo ordenador.
El ataque funciona de la siguiente manera:
- Fase de dispersión. Spam masivo a direcciones de correo electrónico con un enlace de descarga del dropper (el programa que instala el virus) o explotación de servicio vulnerable expuesto a Internet o conexión de equipo infectado a la red local.
- Fase de infección. Momento en el que se descarga el dropper que infecta con el ransomware (virus) la máquina.
- Fase de contagio. Desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10 para infectar a ese equipo también y continuar la infección.
Cuando un equipo queda infectado, además de contagiar al resto de su red, se exige un rescate de 300 dólares en bitcoins.
Esta es la pantalla que se muestra cuando un equipo está «secuestrado»
Pasado el tiempo que se muestra en el lateral izquierdo, los datos que se han secuestrado son borrados.
Cómo protegerse
La mejor herramienta contra este tipo de ataques, es la prevención. Como hemos comentado anteriormente, Wannacry aprovecha una vulnerabilidad anunciada por Windows para colarse en redes y ordenadores, por lo que la solución es muy sencilla: actualizar y parchear todos los equipos conforme a las recomendaciones de Windows y del fabricante. Si tienes cualquiera de estos sistemas operativos, puedes -y debes – descargar la actualización para tu software:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 y R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 y R2
- Windows 10
- Windows Server 2016
Puedes descargarlo directamente de la página de Windows.
Recuerda: aunque el ataque masivo tuvo lugar el viernes, el CCN-CERT (Centro Criptológico Nacional) mantiene una alerta muy alta. ¿Sigues teniendo dudas de cómo proceder? Escríbenos a contact@keykumo.com.