miércoles, 28 de junio de 2017

Qué hacer para evitar el contagio de PetrWrap (NotPetya / Petya 2017)

Antes de ver qué opciones y soluciones existen para evitar la infección de este software malicioso que ha pillado -de nuevo- al mundo por sorpresa veamos un repaso a modo de aclaraciones e información general:
  • PetrWrap es un malware en formato ransomware/gusano informático surgido a raíz de otro existente llamado Petya, al cual se ha sumado el aprovechamiento de varias vulnerabilidades conocidas en sistemas operativos Microsoft Windows:
    • La misma que WannaCry (EternalBlue), es decir el protocolo de red SMBv1.
    • Una vulnerabilidad de Microsoft Office y Wordpad (1) (2) ya corregida y relacionada con la ejecución de código remoto.
    • Los recursos compartidos administrativos. Se encuentran habilitados de forma predeterminada y suponen un riesgo al proporcionar acceso a los ficheros de la máquina en la que se encuentran disponibles.
    • La tecnología de gestión "Windows Management Instrumentation" (WMI), que no es una vulnerabilidad en sí misma pero puede ser explotada para acelerar el proceso de infección.
  • PetrWrap es muy virulento y acabará por extenderse más que WannaCry, aunque posiblemente no tanto fuera de entornos corporativos. Pese a que meses atrás ya se hizo pública fuera del ámbito informático una de sus formas de propagación, la manera en que combina las otras lo hace mucho más peligroso.
  • PetrWrap comenzó su ciclo de vida infectando ordenadores en Ucrania. Se barajan dos vectores originarios de infección mediante el acceso no autorizado y la manipulación de servidores: uno, a través del sistema de autoactualizado del software de contabilidad MeDoc, utilizado a lo largo y ancho del país en todos los sectores. El otro, empleando la web del ayuntamiento de la ciudad de Bajmut, situada al este de Ucrania.
  • PetrWrap es ligeramente menos destructivo que WannaCry. Cifra y elimina los ficheros (principalmente documentos y archivos, no imágenes ni ejecutables; la lista está al final de esta entrada) de carpetas con hasta 15 niveles de anidación, excluyendo c:\Windows. Además, tras reiniciar el equipo infectado cifra el índice de ficheros del disco duro. Es decir, cifra dos veces, dos aspectos distintos. Abarca más y es más rápido en su operación.
  • PetrWrap no es WannaCry 2.0. Este nuevo malware es mucho más versátil y capaz que WannaCry a la hora de encontrar cómo distribuirse y sólo tienen en común una de las vulnerabilidades aprovechadas. 
  • Aunque PetrWrap fue aparentemente diseñado como ransomware, durante sus primeras horas de vida se descubrió que la dirección de correo asociada había sido dada de baja. Posteo, la empresa alemana que gestiona el dominio de la cuenta de correo electrónico que empleaba el malware hizo público que la cuenta fue rápidamente deshabilitada.
  • En todos los ámbitos se está cuestionando por qué los desarrolladores de PetWrap emplearon un método de comunicación para cobrar el rescate tan sencillo de interrumpir. Las consideraciones por ahora son que el objetivo nunca fue generar un beneficio económico sino un perjuicio más o menos focalizado, aún por determinar contra quién — aunque ya hay sospechas.
  • Habida cuenta de la disparidad de detalles precisos en la información disponible -incluso la proporcionada por fabricantes de soluciones de seguridad y entornos técnicos especializados- es posible que se hayan esparcido diferentes variantes de este malware.
  • Aún es pronto para saber si se podrá desarrollar un software de prevención que impida todas las vías de contagio.

sábado, 13 de mayo de 2017

Qué hacer para evitar el contagio del ransomware WannaCry

A fecha de hoy casi cualquier persona habrá oído hablar de la situación vista en diferentes países respecto al ransomware llamado WannaCry (también WanaCrypt0r 2.0, WCry o WCrypt). Este malware es una mezcla de gusano y troyano que se distribuye de diferentes maneras, principalmente correos spam, publicidad engañosa y, la más mediática y escandalosa, a través de un agujero de seguridad explotado por malware de terceros (con una historia novelesca detrás digna de Tom Clancy) que afecta a todos los sistemas operativos de Microsoft desde el cambio de siglo: Windows Vista SP2, 7, 8.1, 10 y los Server 2008/2012/2016; en esta lista también se incluyen los que se encuentran sin soporte (Windows XP, 8 y Server 2003). Y aquí es donde está el meollo de la cuestión.

Antes de nada, advertir que si alguien ha visto infectado alguno de sus equipos con "WannaCry" -fácil de verificar por las ventanas amenazantes y la aparición de ficheros con la extensión .wncry-, las posibilidades de recuperar los datos son prácticamente nulas — puesto que el pago nunca es recomendable. No hay descifrado posible de los datos dado que la clave que los cifra no se guarda en el equipo de la víctima. Dicho esto, es posible que eventualmente aparezca una clave maestra o similar; no sería la primera vez.