Tabla de contenidos
El término WannaCry es un malware extremadamente potente que apareció a gran escala en mayo de 2017 y principalmente infectó computadoras con los dos sistemas operativos Windows 7 y Windows XP. La funcionalidad de WannaCry se basa en el ransomware clásico: el malware cifra los discos duros, incluidos todos los datos del equipo infectado, con un cifrado potente y exige un rescate del usuario por el descifrado de los datos. Lo especial de WannaCry era que el ransomware utilizaba la funcionalidad de un gusano informático lo que permitió que se extendiera a millones de computadoras en todo el mundo en muy poco tiempo.
Leer: ¿Qué es Kali Linux?
Información general sobre WannaCry
El 12 de mayo de 2017, se registró una infección masiva mundial de computadoras con Windows por un nuevo virus informático. Más de 230.000 ordenadores con Windows se vieron afectados en tan solo 24 horas. Además de muchos ordenadores privados en los que se instalaron los dos sistemas operativos Windows 7 y Windows XP, también se vieron afectadas muchas empresas, agencias gubernamentales, plantas industriales e infraestructuras críticas. Este ransomware se conoce comúnmente como WannaCry, pero también se le conoce por los siguientes nombres:
- WannaCrypt
- WCrypt
- WCRY
- Wana Decryptor 2.0
El ransomware es un subgrupo especial de malware y se ha utilizado con gran éxito en el campo del ciberdelito durante años. Si bien los ataques de ransomware anteriores generalmente se llevaban a cabo de manera esporádica y principalmente empresas, organizaciones o particulares eran atacados por piratas informáticos, WannaCry se destaca claramente de los ataques de piratas informáticos anteriores debido a su agresiva propagación. Además de la funcionalidad pura de ransomware, también se utiliza un potente virus gusano como parte de WannaCry. Utiliza el exploit de Windows «EternalBlue» en combinación con la herramienta de puerta trasera «DoublePulsar» para difundirse de forma independiente.
Cómo funciona WannaCry
Después de que WannaCry se haya copiado en un sistema vulnerable, primero se establece una conexión a la llamada «URL de Killswitch». Si el dominio no está activo, se activa el llamado dropper, que se encarga de instalar el ransomware. A continuación, el malware crea un servicio llamado «mssecsvc2.0», que recibe el nombre para mostrar «Microsoft Security Center 2.0″ . En la primera oportunidad, primero escanea la red local y luego Internet en busca de otras computadoras potenciales con la vulnerabilidad.»EternalBlue». Esta funcionalidad asegura la rápida propagación del malware.
En el siguiente paso, el cuentagotas previamente activado extrae el ransomware WannaCry real y lo ejecuta. El ransomware también comprueba primero si hay una URL de desconexión automática disponible. Solo si no se encuentra, continúa con el siguiente paso.
WannaCry luego otorga acceso completo a todos los archivos en la computadora y establece todos los atributos de los archivos como «ocultos». Luego, todos los archivos se cifran con un algoritmo de cifrado complejo y se les asigna la extensión de archivo «.WNCRY». Se crea un archivo «ReadMe.txt» en cada carpeta, que contiene las instrucciones precisas para pagar el rescate. Además, se crea una entrada de registro que elimina todas las copias de seguridad locales y los estados del sistema una vez que se ha completado el cifrado.
Finalmente, el malware reemplaza la imagen de fondo del escritorio actual con una notificación e inicia un temporizador e instrucciones para pagar el rescate.
Empresas e instituciones afectadas
El ataque de piratas informáticos afectó a varias empresas y organizaciones globales. Según el estado actual, las siguientes instituciones y empresas han sufrido fallas e interrupciones comerciales debido a una infección con el ransomware :
- Telefónica (empresa española de telecomunicaciones)
- Servicio Nacional de Salud (el sistema de salud pública en Gran Bretaña e Irlanda del Norte)
- Renault (empresa automovilística francesa)
- Fedex (empresa de logística global de EE. UU.)
- PetroChina (empresa petrolera china)
Además, miles de computadoras pertenecientes al Ministerio del Interior de Rusia, el Ministerio de Control de Desastres y la empresa de telecomunicaciones MegFon se vieron afectadas.
Medidas de protección contra ransomware
Además de importar los parches de seguridad actuales para el sistema operativo y las aplicaciones instaladas, se recomienda el uso de una buena solución de seguridad como ESET. La protección antivirus gratuita también ofrece un nivel suficiente de seguridad contra ataques de ransomware.
Sin embargo, debe tenerse en cuenta que algunos programas antivirus bloquean automáticamente el acceso a la URL de Killswitch porque consideran que el aumento del tráfico es sospechoso. Esto es contraproducente, ya que el ransomware se propaga de manera incontrolada si no se activa el interruptor de interrupción.
Además, mediante el uso de un firewall, los puertos TCP 137, 139, 445, 3389 y los puertos UDP 137 y 138 se pueden bloquear para evitar que la variante más común del malware WannaCry penetre.