Observatorio de Amenazas

Nuevas recomendaciones para Ransomware Wannacry

Escrito por Marcelo Carvajal | 13-05-17

Última liberación de Microsoft

En las últimas horas Microsoft adoptó una medida inusual, al liberar un parche que protege a sus clientes con versiones no soportadas, tales como Windows XP, Vista, Windows 8, Server 2003 y 2008 Editions.  Parche de Emergencia

Su recomendación incluye la deshabilitación de Server Message Block (SMB).

Análisis del estallido del Ransomware WannaCry – McAfee

McAfee elaboró un completo análisis sobre el Ransomware WannaCry.  A continuación un extracto, podrá ver el informe completo en An Analysis of the WANNACRY Ransomware outbreak.

Comportamiento de WannaCry:

Por medio de la utilización de líneas de comando, las copias de los respaldos escondidos son removidos:

Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Tamaño completo del ransomware es 3.4 MB (3514368 bytes)

Sus autores lo llaman “WANNACRY”.

El Ransomware se escribe en una carpeta de caracteres aleatorios en ‘ProgramData folder with the file name of “tasksche.exe’ or in C:\Windows\ folder with the file-name ‘mssecsvc.exe’ and ‘tasksche.exe’.

Ejemplos: C:\ProgramData\lygekvkj256\tasksche.exe C:\ProgramData\pepauehfflzjjtl340\tasksche.exe C:/ProgramData/utehtftufqpkr106/tasksche.exe c:\programdata\yeznwdibwunjq522\tasksche.exe C:/ProgramData/uvlozcijuhd698/tasksche.exe C:/ProgramData/pjnkzipwuf715/tasksche.exe C:/ProgramData/qjrtialad472/tasksche.exe c:\programdata\cpmliyxlejnh908\tasksche.exe

Indicadores de compromiso:

Hashes:

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 aae9536875784fe6e55357900519f97fee0a56d6780860779a36f06765243d56 21ed253b796f63b9e95b4e426a82303dfac5bf8062bfe669995bde2208b360fd 2372862afaa8e8720bc46f93cb27a9b12646a7cbc952cc732b8f5df7aebb2450 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32 9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844 5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9 76a3666ce9119295104bb69ee7af3f2845d23f40ba48ace7987f79b06312bbdf fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4 ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8 f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494 3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9 9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640 5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c 12d67c587e114d8dde56324741a8f04fb50cc3160653769b8015bc5aec64d20b 85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301

Direcciones IP:

  1. 197.231.221.221:9001

  2. 128.31.0.39:9191

  3. 149.202.160.69:9001

  4. 46.101.166.19:9090

  5. 91.121.65.179:9001

  6. 2.3.69.209:9001

  7. 146.0.32.144:9001

  8. 50.7.161.218:9001

  9. 217.79.179.177:9001

  10. 213.61.66.116:9003

  11. 212.47.232.237:9001

  12. 81.30.158.223:9001

  13. 79.172.193.32:443

  14. 38.229.72.16:443

Dominios:

  1. iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)

  2. Rphjmrpwmfv6v2e[dot]onion

  3. Gx7ekbenv2riucmf[dot]onion

  4. 57g7spgrzlojinas[dot]onion

  5. xxlvbrloxvriy2c5[dot]onion

  6. 76jdd2ir2embyv47[dot]onion

  7. cwwnhwhlz52maqm7[dot]onion

Nombre de archivo:

  1. @Please_Read_Me@.txt

  2. @WanaDecryptor@.exe

  3. @WanaDecryptor@.exe.lnk

  4. Please Read Me!.txt (Older variant)

  5. C:\WINDOWS\tasksche.exe

  6. C:\WINDOWS\qeriuwjhrf

  7. 131181494299235.bat

  8. 176641494574290.bat

  9. 217201494590800.bat

  10. [0-9]{15}.bat

  11. !WannaDecryptor!.exe.lnk

  12. 00000000.pky

  13. 00000000.eky

  14. 00000000.res

  15. C:\WINDOWS\system32\taskdl.exe

WIDEFENSE RECOMIENDA



  1. Visite sólo sitios oficiales, se podría difundir una segunda oleada de Ransomware a través de falsos parches de seguridad de Windows.

  2. Mantenga su sistema actualizado.

  3. Si está utilizando versiones no compatibles de Windows, incluyendo Windows XP, Vista, Server 003 o 2008, aplique el parche de emergencia publicado por Microsoft.

  4. Bloquee el acceso a puertos SMB a través de la red o de Internet. El protocolo opera en los puertos TCP 137, 139 y 445 y en los puertos UDP 137 y 138.

  5. Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.

  6. Mantenga actualizado su software antivirus.