WannaCry?

Ransomware

EternalBlue, es una pieza de software, datos o secuencia de comandos que se aprovecha de un “bug” o vulnerabilidad para poder tomar control de cierto software, hardware o algo electrónico y se le conoce como “exploit”. Se cree que EternalBlue fue diseñado por el mismísimo NSA y fue usado originalmente por el grupo de hackers “Shadow Brokers” para explotar la vulnerabilidad del protocolo Server Message Block (SMB) de Microsoft el 14 de Abril del 2017 (CVE-2017-0144). No... Linux tampoco se salva. 

  

La actualización de seguridad de Windows del 14 Marzo del 2017 (MS17-010) resolvía el problema, para las versiones de Vista, 7, 8.1, 10, Server 2008, Server 2012 y Server 2016. Pero muchos no la instalaron, entonces, dos meses después tenemos el ataque WannaCry que usa y abusa de la vulnerabilidad EternalBlue para poder expandirse. 

Antes que nada, WannaCry es un tipo de malware llamado “ransomware.” Como el nombre lo sugiere, el malware se apodera de la computadora y la toma como rehén, exigiendo el pago del rescate para poder volver a tener acceso a los archivos en la computadora. Básicamente encripta la mayoría o todos los archivos en la computadora. En el caso de WannaCry el pago para liberar los archivos es de $300 USD en Bitcoin al momento de ser infectado. Si la victima paga tres días después de la fecha límite, serán $600 USD en Bitcoin. De otra forma, WannaCry borrará todos los archivos. 

No… aún no termina. 

WannaCry fue descubierto el 12 de Mayo del 2017, y se ha esparcido a unas 57,000 computadoras en 150 países. El golpe más duro se lo llevo Europa, así como compañías de gran tamaño, organizaciones, bancos, hospitales y agencias gubernamentales. 

En este momento la única forma de proteger tu maquina es actualizar todas las medidas de seguridad disponibles. Windows.

Esta es una lista de archivos que son encriptados por WannaCry:

• .123
• .3dm
• .3ds
• .3g2
• .3gp
• .602
• .7z
• .ARC
• .PAQ
• .accdb
• .aes
• .ai
• .asc
• .asf
• .asm
• .asp
• .avi
• .backup
• .bak
• .bat
• .bmp
• .brd
• .bz2
• .cgm
• .class
• .cmd
• .cpp
• .crt
• .cs
• .csr
• .csv
• .db
• .dbf
• .dch
• .der
• .dif
• .dip
• .djvu
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .edb
• .eml
• .fla
• .flv
• .frm
• .gif
• .gpg
• .gz
• .hwp
• .ibd
• .iso
• .jar
• .java
• .jpeg
• .jpg
• .js
• .jsp
• .key
• .lay
• .lay6
• .ldf
• .m3u
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .msg
• .myd
• .myi
• .nef
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .ost
• .otg
• .otp
• .ots
• .ott
• .p12
• .pas
• .pdf
• .pem
• .pfx
• .php
• .pl
• .png
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .ps1
• .psd
• .pst
• .rar
• .raw
• .rb
• .rtf
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sln
• .snt
• .sql
• .sqlite3
• .sqlitedb
• .stc
• .std
• .sti
• .stw
• .suo
• .svg
• .swf
• .sxc
• .sxd
• .sxi
• .sxm
• .sxw
• .tar
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .vb
• .vbs
• .vcd
• .vdi
• .vmdk
• .vmx
• .vob
• .vsd
• .vsdx
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• .xlc
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .zip

DoublePulsar es un exploit de puerta trasera (backdoor exploit) desarrollado por el Equation Group del NSA que también fue filtrada al grupo de hackers llamado The Shadow Brokers a principios del 2017. Este juguete fue usado para infectar cerca de 200,000 computadoras con Windows y además fue usado junto con EternalBlue durante el primer ataque de WannaCry. DoublePulsar es especial porque corre en modo kernel (núcleo, es un software que constituye una parte fundamental del sistema operativo, se define como la parte que se ejecuta en modo privilegiado), lo que le da al hacker un nivel más alto de control sobre el sistema.

Pilón

Ataque Man-In-The-Middle

www.feexit.mx
rp@feexit.mx
@feexitmx