Av. Roble 660, Col. Valle del Campestre, San Pedro Garza García, N.L. 66265

81-5998-2211 info@tecpron.com

Que es el Ransomware Wana Decrypt0r ?

Ransomware Wana Decrypt0r 2.0

Que es Wanna Ransomware?

Un nuevo ataque de ransomware llamado ‘Wanna’ tambien conocido como (WannaCry, WCry, WanaCrypt, WanaCrypt0r, or Wanna Decrypt0r) es un encriptador de archivos que cambia las extensiones de los documentos a: .wnry, .wcry, .wncry and .wncrypt.

Para obtener la información más reciente sobre cómo permanecer protegido, consulte el artículo de Sophos Knowledge Base.

shield

Como permanecer protegido?

1. Actualice toda su infraestructura windows segun se describe en Microsoft Security Bulletin MS17-010.

2. Haz una lista blanca de todos los dominios de intercambio de kill relacionados con este ataque.

3. Actualice su soptware EndPoint para asegurar que quente con las ultimas protecciones para esta amenaza.

4. Asegurese de tener en ejecucion la proteccion avanzada de ransomware como lo es Intercept X or Sophos Exploit Prevention (EXP).

5. Usuarios domesticos, consideren registrarse en Sophos Home Premium beta, el cual adiciona proteccion avanzada contra ransomware.

Vision general.

Somos conscientes de un ataque de ransomware generalizado que está afectando a varias organizaciones de TI en varios países.
Un nuevo ataque de ransomware llamado Wanna (también conocido como WannaCry, WCry, WanaCrypt, WanaCrypt0r y Wana DeCrypt0r)
está encriptando archivos y cambiando las extensiones a: .wnry, .wcry, .wncry y .wncrypt. El malware entonces presenta una ventana
al usuario con una demanda de rescate.

El ransomware se propaga rápidamente, como un gusano, explotando una vulnerabilidad de Windows en el servicio SMB (Windows Server Message Block), que los equipos con Windows utilizan para compartir archivos e impresoras en redes locales. Microsoft abordó el tema en su boletín MS17-010.

El análisis parece confirmar que el ataque fue lanzado usando el código de la NSA sospechado por un grupo de hackers conocidos como los Shadow Brokers. Utiliza una variante del ShadowBrokers APT EternalBlue Exploit (CC-1353). Utiliza encriptación fuerte en archivos como documentos, imágenes y vídeos.

Los clientes SOPHOS que utilicen los productos Intercept X y Sophos EXP también verán este ransomware bloqueado por CryptoGuard. Tenga en cuenta que aunque Intercept X y EXP bloquearán el comportamiento subyacente y restaurarán los archivos eliminados o encriptados en todos los casos que hemos visto, la salpicadura y la nota de ransomware ofensiva pueden aparecer

Sophos ha emitdo proteccion para esta amenaza:

Amenaza Sophos IDE Disponiblidad de protección
 Publication started  Publication finished
Troj/Ransom-EMG cerb-ama.ide May 12, 2017 15:58 UTC May 12, 2017 17:25 UTC
Mal/Wanna-A wanna-d.ide May 12, 2017 19:06 UTC May 12, 2017 19:13 UTC
Troj/Wanna-C wanna-d.ide May 12, 2017 19:06 UTC May 12, 2017 19:13 UTC
Troj/Wanna-D wanna-d.ide May 12, 2017 19:06 UTC May 12, 2017 19:13 UTC
HPMal/Wanna-A pdfu-bfo.ide May 13, 2017 00:12 UTC May 13, 2017 02:18 UTC
Troj/Wanna-E rans-emh.ide May 13, 2017 04:57 UTC May 13, 2017 07:04 UTC
Troj/Wanna-G rans-emh.ide May 13, 2017 04:57 UTC May 13, 2017 07:04 UTC
Troj/Dloadr-EDC chisb-qv.ide May 13, 2017 21:09 UTC May 13, 2017 23:16 UTC
Troj/Agent-AWDS chisb-qv.ide May 13, 2017 21:09 UTC May 13, 2017 23:16 UTC
Troj/Wanna-H wanna-h.ide May 14, 2017 00:47 UTC May 14, 2017 02:53 UTC
Troj/Wanna-I wanna-i.ide May 14, 2017 04:32 UTC May 14, 2017 06:38 UTC
Troj/Ransom-EMJ wanna-i.ide May 14, 2017 04:32 UTC May 14, 2017 06:38 UTC
Troj/Wanna-J emote-cb.ide May 14, 2017 19:56 UTC May 14, 2017 22:03 UTC
Troj/Wanna-K emote-cb.ide May 14, 2017 19:56 UTC May 14, 2017 22:03 UTC

Que hacer

Asegúrese de que todos los entornos de Windows se hayan actualizado como se describe en el Boletín de seguridad de Microsoft MS17-010 – Crítico. Microsoft proporciona orientación de clientes para los ataques de WannaCrypt

Microsoft ha tomado la decisión de realizar la Actualización de seguridad para plataformas únicamente en soporte personalizado, Windows XP, Windows 8 y Windows Server 2003, disponibles para su descarga:

La aplicación de los parches de Microsoft MS17-010 debería ser suficiente para proteger contra el Exploit EternalBlue que permitió la rápida propagación del ataque Wanna ransomware. Sin embargo, algunas personas también están aconsejando a los clientes para desactivar el protocolo que es explotado por EternalBlue – SMB v1 especialmente si no pueden parche. No creemos que esto sea necesario si ya está actualizado, y ciertamente no mitiga la necesidad de parche, ya que hay otras vulnerabilidades en la filtración de Shadow Brokers, pero entendemos por qué los clientes pueden deshabilitar SMB v1 como medida de precaución.

Deshabilitar SMB v1 podría hacer que una gama de software y otros servicios que dependen de SMB deje de funcionar correctamente, por lo que debería probar primero si tiene la intención de deshabilitarlo.

Consulte el siguiente artículo para obtener información sobre la inhabilitación de SMB v1 para los productos de Sophos: Qué hacer si decide inhabilitar SMBv1 como respuesta a Wanna ransomware

Las variantes de malware Wanna que hemos visto incluyen una búsqueda a una URL. Si el malware recibe una respuesta, el ataque se detiene. Esto se ha descrito en algunos informes de los medios como un “interruptor de la matanza”. El dominio de la URL fue registrado y activado por un analista de malware independiente con la intención de rastrear el malware, lo que significa que si las variantes actuales del ransomware puede llegar a la URL el ataque se detendría.

Como resultado, el Centro Nacional de Seguridad Cibernética (NCSC) proporciona este consejo: Encontrar y detener el dominio interruptor para detener la propagación de ransomware. NCSC recomienda que los siguientes dominios estén en la lista blanca de su entorno:

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

(remove square brackets [] when whitelisting). Sophos has categorized these domains as Other/Computers & Internet.

Sophos Product Actions
Sophos Intercept X None required.
Central Server Protection Standard Ensure endpoints are updated with the latest threat protection (IDE’s).
Central Server Protection Advanced Ensure CryptoGuard is enabled.
Sophos EXP None required.
Sophos Endpoint Protection Ensure endpoints are updated with the latest threat protection (IDE’s).
Sophos XG Firewall Ensure your IPS and Application signatures are using version x.13.54 or higher
Sophos Home Ensure Sophos Home on protected computers is up to date. Also consider signing up for the Sophos Home Premium beta, which adds proactive protection against exploits and ransomware.

Continuaremos actualizando este artículo a medida que se disponga de más información.

Informacion relacionada

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.