![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/07\/03050107\/2017-04-26-horse.jpg\")
<\/p>\nHace unos d\u00edas, vimos el comienzo de la infecci\u00f3n del troyano cifrador WannaCry y se parece ser una pandemia global. Hemos contabilizado 45,000 ataques en un solo d\u00eda, pero el n\u00famero real es mucho mayor.<\/p>\n
<\/p>\n
Un gran n\u00famero de entidades han informado simult\u00e1neamente de una infecci\u00f3n. Entre ellos, hab\u00eda hospitales brit\u00e1nicos que tuvieron que suspender sus operaciones. Seg\u00fan los datos facilitados por terceros, WannaCry ha infectado a m\u00e1s de 100,000 ordenadores. Dicha cantidad de infecciones es parte de la raz\u00f3n por la que ha atra\u00eddo a tanta atenci\u00f3n.<\/p>\n
El mayor n\u00famero de ataques fueron en Rusia, pero Ucrania, la India y Taiw\u00e1n tambi\u00e9n han sufrido da\u00f1os. Durante el primer d\u00eda del ataque, descubrimos que WannaCry estaba en 74 pa\u00edses. Aunque en Espa\u00f1a la repercusi\u00f3n ha sido muy grande en los medios, no ha sido uno de los pa\u00edses m\u00e1s afectados.<\/p>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/07\/03050112\/wannacry_04.png\")
<\/p>\n
En general, WannaCry viene en dos piezas. La primera es un exploit<\/a> que se encarga de la infecci\u00f3n y de la propagaci\u00f3n. La segunda se trata de un cifrador<\/a> que se descarga en una computadora\u00a0despu\u00e9s de ser infectado.<\/p>\n La primera supone la gran diferencia entre WannaCry y la mayor\u00eda de cifradores. Para infectar una computadora\u00a0con un cifrador normal, el usuario debe cometer un error, como, por ejemplo, haciendo clic en un enlace sospechoso, permitiendo que Word ejecute macros maliciosas o descargando un adjunto malicioso de un correo electr\u00f3nico. Un sistema puede ser infectado con WannaCry sin que el usuario haga nada.<\/p>\n Los creadores de WannaCry se haprovecharon de un exploit de Windows conocido como EternalBlue y que Windows parche\u00f3 con la actualizaci\u00f3n de software<\/i> MS17-010<\/a> el 14 de marzo del a\u00f1o en curso. Mediante el exploit, los malos pudieron obtener acceso remoto a los ordenadores e instalar el cifrador.<\/p>\n Si has instalado la actualizaci\u00f3n, esta vulnerabilidad no te afecta y los intentos de hackear<\/i> tu computadora\u00a0remotamente mediante ella fallar\u00e1n. Sin embargo, a los investigadores del equipo GReAT de Kaspersky Lab les gustar\u00eda recalcar<\/a> que el hecho de parchear la vulnerabilidad no detendr\u00e1 del todo al cifrador. Por tanto, si lo abres de alg\u00fan modo (es decir, si cometes un error), ese parche no te servir\u00e1 de nada.<\/p>\n Despu\u00e9s de hackear<\/i> con \u00e9xito una computadora, WannaCry intenta distribuirse por toda la red local hacia otros ordenadores del mismo modo en que lo har\u00eda un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros ordenadores y, cuando WannaCry encuentra un dispositivo vulnerable, lo ataca y cifra sus archivos.<\/p>\n Por tanto, al infectar una computadora, WannaCry puede infectar a toda una red local y cifrar todos los ordenadores de la misma. Por es, las grandes empresas son las que m\u00e1s han sufrido por el ataque de WannaCry (a m\u00e1s computadoras\u00a0en la red, mayor puede ser el da\u00f1o).<\/p>\n Como cifrador, WannaCry (a veces llamado WCrypt o, por ninguna raz\u00f3n aparente, WannaCry Decryptor<\/a>) se comporta como cualquier cifrador; cifra los archivos de una computadora y pide un rescate para descifrarlos. Se parece mucho a una variaci\u00f3n del infame CryptXXX<\/a>.<\/p>\n WannaCry cifra diferentes tipos de archivos (esta<\/a> es la lista completa) incluyendo los documentos de Office, im\u00e1genes, v\u00eddeos y otros tipos de archivos que puedan contener informaci\u00f3n importante para el usuario. Las extensiones de los archivos cifrados se renombran a .WCRY y el archivo se vuelve del todo inaccesible.<\/p>\n Tras esto, el troyano cambia el fondo de pantalla con una imagen que contiene la informaci\u00f3n sobre la infecci\u00f3n y las acciones que se supone que el usuario debe llevar a cabo para recuperar los archivos. WannaCry deja notificaciones en formato de archivos de texto con la misma informaci\u00f3n en todas las carpetas de la computadora\u00a0para asegurarse de que el usuario recibe el mensaje.<\/p>\n Como de costumbre, una de las acciones era transferir cierta cantidad de dinero, en bitcoins, a los malos. Despu\u00e9s,\u00a0dicen que descifrar\u00e1n todos los archivos. En un principio, los ciberdelincuentes ped\u00edan 300 d\u00f3lares, pero luego subieron el rescate a 600 d\u00f3lares.<\/p>\n En este caso, los malos tambi\u00e9n intentan intimidar a las v\u00edctimas afirmando que la cantidad del rescate se incrementa pasados tres d\u00edas y, es m\u00e1s, diciendo que pasados siete d\u00edas es imposible descifrar los archivos.<\/p>\n Como siempre, no recomendamos el pago del rescate. Quiz\u00e1 la raz\u00f3n m\u00e1s persuasiva para no hacerlo sea que no hay garant\u00edas de que los delincuentes vayan a descifrar tus archivos tras recibir el pago. De hecho, los investigadores han demostrado en otras ocasiones que los ciberextorsionistas simplemente borraron los archivos de los usuarios<\/a>.<\/p>\n Un investigador llamado Malwaretech pudo detener la infecci\u00f3n<\/a> al registrar un dominio con un nombre largo y sinsentido.<\/p>\n Al parecer, algunas versiones de WannaCry se dirig\u00edan a ese dominio y, si no recib\u00edan una respuesta positiva, instalaban el cifrador y empezaban con su trabajo sucio. Si hab\u00eda una respuesta (es decir, si se hab\u00eda registrado el dominio), el malware<\/i> deten\u00eda su actividad.<\/p>\n Tras encontrar la referencia a este dominio en el c\u00f3digo del troyano, el investigador registr\u00f3 el dominio y suspendi\u00f3 el ataque. Durante el resto del d\u00eda, el dominio tuvo miles de peticiones, lo que significa que miles de computadoras\u00a0se salvaron.<\/p>\n Existe una teor\u00eda que afirma que esta funcionalidad se integr\u00f3 en WannaCry (como un disyuntor) por si algo sal\u00eda mal. Otra teor\u00eda, apoyada por el propio investigador, dice que es un modo de complicar el an\u00e1lisis del comportamiento del malware<\/i>. Los entornos de prueba usados en las investigaciones est\u00e1n dise\u00f1ados para que cualquier<\/i> dominio devuelva una respuesta positiva; en esos casos, el troyano no har\u00eda nada porque est\u00e1 dentro de dicho entorno.<\/p>\n Por desgracia, en las nuevas versiones del troyano, lo que tendr\u00e1n que hacer todos los delincuentes es cambiar el nombre del dominio indicado como \u201cdisyuntor\u201d y las infecciones continuar\u00e1n. Por lo que es muy probable que el brote de WannaCry contin\u00fae.<\/p>\n Por desgracia, todav\u00eda no existe un modo de descifrar los archivos que WannaCry ha cifrado, pero nuestros investigadores trabajan en ello. Por ahora, la prevenci\u00f3n es la \u00fanica esperanza.<\/p>\n Les dejamos algunos consejos para prevenir la infecci\u00f3n y minimizar los da\u00f1os.<\/p>\nWannaCry: Exploit y propagaci\u00f3n<\/h3>\n
WannaCry: Cifrador<\/h3>\n
C\u00f3mo el registro de un dominio detuvo la infecci\u00f3n, pero es probable que todav\u00eda no se haya terminado<\/h3>\n
C\u00f3mo defenderse de WannaCry<\/h3>\n
\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2017\/05\/05195614\/ransomware_EN-1-1024x216.png\")
<\/a><\/p>\n