Bueno, pues en este caso el interés es meramente económico, secuestran la información cifrándola y piden un rescate en bitcoins para descifrarla. Aunque a la hora de la verdad sólo los turistas pagan el rescate, se suele recurrir a las copias de seguridad para recuperar la información.
Parece que ya está un poco más centrada la cosa y era más o menos como os dije, infección inicial por mail o web que implica la ejeción de un código malicioso y luego proparagación dentro de las redes locales aprovechando protocolo de uso compartido de archivos explotando vulnerabilidades.
Ya que estamos os pongo la información que me han mandado:
Ayer por la mañana se ha producido un incidente de seguridad con afectación internacional e impacto en múltiples empresas.
Esta campaña de alta criticidad se basa en la explotación de una vulnerabilidad sobre tecnología Microsoft descrita en el boletín de seguridad MS17-010, a través de una variante del ransomware WCRY/WANNACRY, que principalmente se propaga entre equipos en la misma red vía protocolo SMB (TCP puerto 445).
Las
principales recomendaciones y medidas preventivas que se deben implementar de forma prioritaria se resumen a continuación:
- Verificación de parcheado de equipos Microsoft Windows según boletín MS17-010.
- Desactivación del protocolo SMB1.0 en caso de que esté activo en el equipo. Esta medida impide la infección directamente a través de la red.
- Se puede valorar activar el FW local del equipo para impedir conexiones entrantes por el protocolo 445.
- Actualización de las firmas de antivirus de los principales fabricantes.
- Bloqueo entre subredes del tráfico correspondiente a protocolo SMB (TCP puerto 445), con el objetivo de evitar o minimizar la propagación entre máquinas infectadas.
Se recomienda extremar las precauciones en la conexión de equipos y portátiles a las redes internasde la compañía, poniendo especial cuidado en las conexiones a redes donde se encuentren equipos críticos de negocio.
Para detectar si una máquina ha sido infectada se pueden comprobar los siguientes cambios o modificaciones en ficheros y registros de Windows:
Verificar el registro HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Curren tVersion\Run
Clave: [a-z]{12,14}[0-9]{3} = c:\windows\tasksche.exe
Comprobar la existencia de los siguientes archivos en la máquina:
@Please_Read_Me@.txt
taskdl.exe
tasksche.exe
taskse.exe
@WanaDecryptor@.exe
@WanaDecryptor@.bmp
@WanaDecryptor@.exe.lnk
mssecsvc.exe
A través de la investigación realizada por el equipo de análisis forense de Telefónica, recomendamos también desplegar directivas que impidan la ejecución de los ficheros asociados a los siguientes Hashes:
File Name @WanaDecryptor@.exe
MD5 7bf2b57f2a205768755c07f238fb32cc
SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb 9b560d81391c25
SHA512 91a39e919296cb5c6eccba710b780519d90035175aa460ec6d be631324e5e5753bd8d87f395b5481bcd7e1ad623b31a34382 d81faae06bef60ec28b49c3122a9
CRC32 4E6C168D
File Name taskdl.exe
MD5 4fef5e34143e646dbf9907c4374276f5
SHA1 47a9ad4125b6bd7c55e4e7da251e23f089407b8f
SHA256 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642e cd705a74794b79
SHA512 4550dd1787deb353ebd28363dd2cdccca861f6a5d9358120fa 6aa23baa478b2a9eb43cef5e3f6426f708a0753491710ac054 83fac4a046c26bec4234122434d5
CRC32 E969EF31
File Name taskse.exe
MD5 8495400f199ac77853c53b5a3f278f3e
SHA1 be5d6279874da315e3080b06083757aad9b32c23
SHA256 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00 b1263358c5f00d
SHA512 0669c524a295a049fa4629b26f89788b2a74e1840bcdc50e09 3a0bd40830dd1279c9597937301c0072db6ece70adee4ace67 c3c8a4fb2db6deafd8f1e887abe4
CRC32 BC193579
File Name mssecsvc.exe
MD5 db349b97c37d22f5ea1d1841e3c89eb4
SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea 04703480b1022c
SHA512 d6c60b8f22f89cbd1262c0aa7ae240577a82002fb149e9127d 4edf775a25abcda4e585b6113e79ab4a24bb65f4280532529c 2f06f7ffe4d5db45c0caf74fea38
CRC32 9FBB1227
File Name tasksche.exe
MD5 84c82835a5d21bbcf75a61706d8ab549
SHA1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5 babe8e080e41aa
SHA512 90723a50c20ba3643d625595fd6be8dcf88d70ff7f4b4719a8 8f055d5b3149a4231018ea30d375171507a147e59f73478c0c 27948590794554d031e7d54b7244
CRC32 4022FCAA
Por último:
Se recomienda el bloqueo del tráfico hacia/desde la dirección IP:
144.217.254.3
Se recomienda
permitir el tráfico hacia la URL
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
para inhibir las acciones que se ejecutan en una máquina que haya sido infectada.
La descripción completa sobre este modus operandi se puede consultar en el siguiente enlace:
http://blog.talosintelligence.com/2017/05/wannacry.html
Marcadores