WannaCry: ¿estás a salvo?

Por qué el cifrador WannaCry es tan peligroso y cómo prevenir la infección.

Hace unos días, vimos el comienzo de la infección del troyano cifrador WannaCry y se parece ser una pandemia global. Hemos contabilizado 45,000 ataques en un solo día, pero el número real es mucho mayor.

¿Qué pasó?

Un gran número de entidades han informado simultáneamente de una infección. Entre ellos, había hospitales británicos que tuvieron que suspender sus operaciones. Según los datos facilitados por terceros, WannaCry ha infectado a más de 100,000 ordenadores. Dicha cantidad de infecciones es parte de la razón por la que ha atraído a tanta atención.

El mayor número de ataques fueron en Rusia, pero Ucrania, la India y Taiwán también han sufrido daños. Durante el primer día del ataque, descubrimos que WannaCry estaba en 74 países. Aunque en España la repercusión ha sido muy grande en los medios, no ha sido uno de los países más afectados.

¿Qué es WannaCry?

En general, WannaCry viene en dos piezas. La primera es un exploit que se encarga de la infección y de la propagación. La segunda se trata de un cifrador que se descarga en una computadora después de ser infectado.

La primera supone la gran diferencia entre WannaCry y la mayoría de cifradores. Para infectar una computadora con un cifrador normal, el usuario debe cometer un error, como, por ejemplo, haciendo clic en un enlace sospechoso, permitiendo que Word ejecute macros maliciosas o descargando un adjunto malicioso de un correo electrónico. Un sistema puede ser infectado con WannaCry sin que el usuario haga nada.

WannaCry: Exploit y propagación

Los creadores de WannaCry se haprovecharon de un exploit de Windows conocido como EternalBlue y que Windows parcheó con la actualización de software MS17-010 el 14 de marzo del año en curso. Mediante el exploit, los malos pudieron obtener acceso remoto a los ordenadores e instalar el cifrador.

Si has instalado la actualización, esta vulnerabilidad no te afecta y los intentos de hackear tu computadora remotamente mediante ella fallarán. Sin embargo, a los investigadores del equipo GReAT de Kaspersky Lab les gustaría recalcar que el hecho de parchear la vulnerabilidad no detendrá del todo al cifrador. Por tanto, si lo abres de algún modo (es decir, si cometes un error), ese parche no te servirá de nada.

Después de hackear con éxito una computadora, WannaCry intenta distribuirse por toda la red local hacia otros ordenadores del mismo modo en que lo haría un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros ordenadores y, cuando WannaCry encuentra un dispositivo vulnerable, lo ataca y cifra sus archivos.

Por tanto, al infectar una computadora, WannaCry puede infectar a toda una red local y cifrar todos los ordenadores de la misma. Por es, las grandes empresas son las que más han sufrido por el ataque de WannaCry (a más computadoras en la red, mayor puede ser el daño).

WannaCry: Cifrador

Como cifrador, WannaCry (a veces llamado WCrypt o, por ninguna razón aparente, WannaCry Decryptor) se comporta como cualquier cifrador; cifra los archivos de una computadora y pide un rescate para descifrarlos. Se parece mucho a una variación del infame CryptXXX.

WannaCry cifra diferentes tipos de archivos (esta es la lista completa) incluyendo los documentos de Office, imágenes, vídeos y otros tipos de archivos que puedan contener información importante para el usuario. Las extensiones de los archivos cifrados se renombran a .WCRY y el archivo se vuelve del todo inaccesible.

Tras esto, el troyano cambia el fondo de pantalla con una imagen que contiene la información sobre la infección y las acciones que se supone que el usuario debe llevar a cabo para recuperar los archivos. WannaCry deja notificaciones en formato de archivos de texto con la misma información en todas las carpetas de la computadora para asegurarse de que el usuario recibe el mensaje.

Como de costumbre, una de las acciones era transferir cierta cantidad de dinero, en bitcoins, a los malos. Después, dicen que descifrarán todos los archivos. En un principio, los ciberdelincuentes pedían 300 dólares, pero luego subieron el rescate a 600 dólares.

En este caso, los malos también intentan intimidar a las víctimas afirmando que la cantidad del rescate se incrementa pasados tres días y, es más, diciendo que pasados siete días es imposible descifrar los archivos.

Como siempre, no recomendamos el pago del rescate. Quizá la razón más persuasiva para no hacerlo sea que no hay garantías de que los delincuentes vayan a descifrar tus archivos tras recibir el pago. De hecho, los investigadores han demostrado en otras ocasiones que los ciberextorsionistas simplemente borraron los archivos de los usuarios.

Cómo el registro de un dominio detuvo la infección, pero es probable que todavía no se haya terminado

Un investigador llamado Malwaretech pudo detener la infección al registrar un dominio con un nombre largo y sinsentido.

Al parecer, algunas versiones de WannaCry se dirigían a ese dominio y, si no recibían una respuesta positiva, instalaban el cifrador y empezaban con su trabajo sucio. Si había una respuesta (es decir, si se había registrado el dominio), el malware detenía su actividad.

Tras encontrar la referencia a este dominio en el código del troyano, el investigador registró el dominio y suspendió el ataque. Durante el resto del día, el dominio tuvo miles de peticiones, lo que significa que miles de computadoras se salvaron.

Existe una teoría que afirma que esta funcionalidad se integró en WannaCry (como un disyuntor) por si algo salía mal. Otra teoría, apoyada por el propio investigador, dice que es un modo de complicar el análisis del comportamiento del malware. Los entornos de prueba usados en las investigaciones están diseñados para que cualquier dominio devuelva una respuesta positiva; en esos casos, el troyano no haría nada porque está dentro de dicho entorno.

Por desgracia, en las nuevas versiones del troyano, lo que tendrán que hacer todos los delincuentes es cambiar el nombre del dominio indicado como “disyuntor” y las infecciones continuarán. Por lo que es muy probable que el brote de WannaCry continúe.

Cómo defenderse de WannaCry

Por desgracia, todavía no existe un modo de descifrar los archivos que WannaCry ha cifrado, pero nuestros investigadores trabajan en ello. Por ahora, la prevención es la única esperanza.

Les dejamos algunos consejos para prevenir la infección y minimizar los daños.

  • Si ya tienes instalada en tu sistema una solución de seguridad de Kaspersky Lab, te recomendamos que hagas lo siguiente: inicia un análisis manual de las áreas críticas y, si la solución detecta MEM:Trojan.Win64.EquationDrug.gen (así es como nuestro antivirus detecta WannaCry), elimínalo y reinicia el sistema.
  • Si eres un usuario de seguridad de Kaspersky, mantén System Watcher activo. Es esencial para luchar contra cualquier nueva variante del malware que pueda aparecer.
  • Instala las actualizaciones de seguridad. Esto es para que todos los usuarios de Windows instalen el parche MS17-010. Microsoft también lo ha lanzado para otros sistemas que ya no reciben asistencia oficial, como Windows XP o Windows 2003. En serio, instálalo ya, es muy importante.
  • Crea copias de seguridad de forma regular y guárdalas en dispositivos que no estén conectados al ordenador constantemente. Si tienes una copia reciente, la infección de un cifrador no es una catástrofe; lo solucionarás pasando unas horas reinstalando el sistema operativo y las aplicaciones y, luego, restaurando los archivos. Si estás demasiado ocupado como para realizar las copias, utiliza nuestra característica para ello integrada en Kaspersky Internet Security, la cual puede automatizar el proceso.

  • Usa un antivirus de confianza. Kaspersky Internet Security puede detectar WannaCry de forma local y durante los intentos de difundirse mediante una red. Es más, System Watcher, un componente integrado, puede deshacer cambios indeseados, lo que significa que evitará el cifrado de archivos incluso con las versiones de malware que aún no están en la base de datos del antivirus.
Consejos