Evitar la propagación del virus WannaCry

Mi Opinión sobre Wanacrypt0r

Desde hace unos días se está hablando del daño causado por el ransomware WannaCry en todo el mundo, recordemos que lo que hace es cifrar los archivos de vuestro PC y luego pedir un "rescate" de los mismos pagando en bitcoins (unos 300 Euros).
El dropper, con el payload, llega por email al PC y cuando se ejecuta comienza a cifrar archivos.
Hasta ahora nadie ha descubierto cómo descifrar los archivos encriptados por este ransomware, por lo que la única opción es tirar de la copia de seguridad que deberíamos tener preparada.
Todo se remonta a marzo de 2017 cuando se robaron por parte del grupo llamado "Shadow Brokers" una serie de exploits y herramientas de seguridad procedentes de la Agencia de Seguridad Nacional (NSA) no descubiertas anteriormente (EthernalBlue-DoblePulsar) y que inmediatamente se pusieron a la venta en la Deep Web, ambas permiten que un atacante envíe paquetes específicamente creados a un servidor Microsoft Server Message Block 1.0 (SMBv1) (Puerto 445)
WannaCry busca equipos que tengan expuesto SMBv1 para atacarlos y una vez dentro escanea la red interna para buscar ficheros y equipos vulnerables.

Características del virus:

Carga el código dañino en el sistema. 
Crea copias en el sistema. 
Crea entradas de persistencia en el Registro de Windows. 
Cifra todos los archivos en todas las unidades que cumplan un patrón de extensión. 
Muestra información acerca del secuestro de los archivos y solicita un rescate para su recuperación. 
Ejecuta determinados programas incluidos en el código dañino. 
Finaliza determinados procesos de bases de datos para poder cifrar sus archivos. 
Elimina las Shadow Copies del sistema.

Los sistemas afectados son los siguientes:
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2008 SP2 y R2 SP1
  • Microsoft Windows Vista SP2 Windows 8.1
  • Windows Server 2012 y R2
  • Windows Server 2016
  • Windows XP
  • Windows Vista
  • Windows Server 2003
Microsoft lanzó un parche (MS17-010), en su momento para solucionar esta vulnerabilidad.

Un analista de MalwareTech descubrió que el virus para iniciarse buscaba un dominio en Internet (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) y en caso de no existir empezaría a cifrar archivos, por lo que la solución era registrar el anterior dominio en Internet, de esta forma el virus no se iniciaba y se paraba la infección.
En las siguientes versiones, según he leído, esto ya no sucede.

Un detalle técnico:
EthernalBlue se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación y DoblePulsar se utiliza para inyectar una dll y abrir un backdoor en el sistema, creando un acceso remoto al sistema.

Cómo se evita la propagación:

1) Aplicar el parche MS017-010 a los sistemas windows anteriores  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2) Desactivar manualmente el protocolo SMB : Panel de Control – Programas y Características – Activar o desactivar características de Windows – desactivar “Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS”.

3) Se deben bloquear las conexiones entrantes a puertos SMB (139 y 445) desde equipos externos a la red.

4) Activar el modo LOCK en todos los perfiles de usuarios.

5) Eliminar el servicio con las siguientes caracteristicas: 
Nombre: mssecsvc2.0 
Descripción: Microsoft Security Center (2.0) Service 
Ruta: %WINDIR%\mssecsvc.exe 
Comando: %s -m security 

6) Eliminar las entradas del registro:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "mzaiifkxcyb819" /t REG_SZ /d "\"C:\WINDOWS\tasksche.exe\"" /f 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “RANDOM_CHARS” /t REG_SZ /d '\%COMMON_APPDATA%\tasksche.exe\'' /f 

7) Eliminar los archivos:

@Please_Read_Me@.txt 
@WanaDecryptor@.exe

8) Por supuesto habilitar un firewall, antivirus, ...

Para comprobar si hemos sido infectados, verificar en el regedit que existen las siguientes rutas:

1) C:\Users\<...>\AppData\Local\Temp\@WanaDecryptor@.exe.lnk



2) C:\Users\<...>\AppData\Local\Temp\@WanaDecryptor@.exe



3) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = “\tasksche.exe”

4) HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "mzaiifkxcyb819" /t REG_SZ /d "\"C:\WINDOWS\tasksche.exe\"" /f 

5) HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “RANDOM_CHARS” /t REG_SZ /d '\%COMMON_APPDATA%\tasksche.exe\'' /f 



6) HKLM\SOFTWARE\WanaCrypt0r\wd = “”



7) HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”

8) Verificar si existe un servicio con las características siguientes
Nombre: mssecsvc2.0 
Descripción: Microsoft Security Center (2.0) Service 
Ruta: %WINDIR%\mssecsvc.exe 
Comando: %s -m security 

9) La existencia de archivos con la extensión “.wnry” es un indicador del compromiso del sistema. 

10) Comprobar si existen alguno de los siguientes archivos:


El CERT ha publicado una herramienta que mitiga la ejecución del virus WannaCry, que a día de hoy es de obligada instalación si queremos evitar sus efectos.










1 comentario: