Observatorio de Amenazas

Alerta de seguridad 7: Recomendaciones para Ransomware Wannacry

Escrito por Marcelo Carvajal | 13-05-17
Continuando con el seguimiento y recomendaciones al incidente generado por el ransomware WannaCry, le entregamos un resumen de las medidas que puede tomar en su compañía.

La amenaza sigue vigente y continuamos alertas.

 

SITUACIÓN ACTUAL

Durante el día de hoy, los fabricantes de software antivirus más populares liberaron los DAT que incluyen la protección a esta amenaza. También esta disponible el análisis de fabricantes con protección de nueva generación que utilizan tecnologías innovadoras como Inteligencia Artificial y otras.  
 

Recomendaciones de los fabricantes:

https://kc.mcafee.com/corporate/index?page=content&id=KB89335 https://community.sophos.com/kb/en-us/126733 https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99 https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html

 

¿Cómo funciona Ransomware WannaCry?

Existen 2 formas conocidas de contagio:
  • Clic del archivo (ingreso vía email) 1. Abrir un archivo con ransomware 2. El ransomware intenta conectarse al dominio: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/ 3a. Si logra conectarse, termina su ejecución 3b. Si no logra conectarse, entonces se instala y comienza a encriptar
  • Autopropagación por Eternalblue (permite explotar la vulnerabilidad del SMB) 1. PC ya infectado escanea pc’s con vulnerabilidad en SMB 2. Transmite el archivo y lo ejecuta 3. El ransomware intenta conectarse al dominio: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/ 4a. Si logra conectarse, termina su ejecución 4b. Si no logra conectarse, entonces se instala y comienza a encriptar
 

Se recomienda poner el siguiente dominio en lista blanca como medida de mitigación conocida hasta el momento: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/ 

 

WIDEFENSE RECOMIENDA (RESUMEN)

  • Actualice los sistemas a su última versión o parche según informa Microsoft. Link: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Si está utilizando versiones no soportadas por Microsoft, incluyendo Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia publicado por Microsoft. Encuentre los parches en el siguiente link: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Respalde sus equipos críticos. Revise la evaluación de software de backup disponible en el siguiente link: https://www.widefense.com/text-backup-contra-ransomware/
  • Visite sólo sitios oficiales, se podría difundir una segunda oleada de Ransomware a través de falsos parches de seguridad de Windows.
  • Mantenga sus sistemas de seguridad actualizados. (Firewall, IPS, Antispam, etc.)
  • Bloquee el acceso a puertos SMB a través de la red o de Internet. El protocolo opera en los puertos TCP 137, 139 y 445 y en los puertos UDP 137 y 138.
  • Asegurese que los DAT que cubren la amenaza han sido desplegados y que han sido actualizados en la totalidad de la red.
  • Utilice protección de amenazas avanzadas, principalmente las basadas en tecnologías de nueva generación (Inteligencia Artificial, Machine Learnning y otras).
  • Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.
  • Mantenga actualizado su software antivirus. Si su antivirus cuenta con módulos de predicción  o Next-generation actívelos. 
  • Si ya se encuentra infectado se recomienda aislar el equipo de la red o apagar según sea el caso.
  • No abra archivos adjuntos desconocidos o e-mail con asuntos inentendibles.
  • No haga clic en links de correos que desconoce.

O consulta nuestra página web con el contenido de todos los comunicados anteriores www.widefense.com

 
Widefense sigue trabajando para recopilar mayor información sobre esta amenaza y otras recomendaciones  para entregarle.