Continuando con el seguimiento y recomendaciones al incidente generado por el ransomware WannaCry, le entregamos un resumen de las medidas que puede tomar en su compañía.
La amenaza sigue vigente y continuamos alertas.
SITUACIÓN ACTUAL
Durante el día de hoy, los fabricantes de software antivirus más populares liberaron los DAT que incluyen la protección a esta amenaza. También esta disponible el análisis de fabricantes con protección de nueva generación que utilizan tecnologías innovadoras como Inteligencia Artificial y otras.
Recomendaciones de los fabricantes:
https://kc.mcafee.com/corporate/index?page=content&id=KB89335
https://community.sophos.com/kb/en-us/126733
https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99
https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html
¿Cómo funciona Ransomware WannaCry?
Existen 2 formas conocidas de contagio:
- Clic del archivo (ingreso vía email)
1. Abrir un archivo con ransomware
2. El ransomware intenta conectarse al dominio: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/
3a. Si logra conectarse, termina su ejecución
3b. Si no logra conectarse, entonces se instala y comienza a encriptar
- Autopropagación por Eternalblue (permite explotar la vulnerabilidad del SMB)
1. PC ya infectado escanea pc’s con vulnerabilidad en SMB
2. Transmite el archivo y lo ejecuta
3. El ransomware intenta conectarse al dominio: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/
4a. Si logra conectarse, termina su ejecución
4b. Si no logra conectarse, entonces se instala y comienza a encriptar
Se recomienda poner el siguiente dominio en lista blanca como medida de mitigación conocida hasta el momento: http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/
WIDEFENSE RECOMIENDA (RESUMEN)
- Actualice los sistemas a su última versión o parche según informa Microsoft.
Link: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Si está utilizando versiones no soportadas por Microsoft, incluyendo Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia publicado por Microsoft. Encuentre los parches en el siguiente link:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
- Respalde sus equipos críticos. Revise la evaluación de software de backup disponible en el siguiente link:
https://www.widefense.com/text-backup-contra-ransomware/
- Visite sólo sitios oficiales, se podría difundir una segunda oleada de Ransomware a través de falsos parches de seguridad de Windows.
- Mantenga sus sistemas de seguridad actualizados. (Firewall, IPS, Antispam, etc.)
- Bloquee el acceso a puertos SMB a través de la red o de Internet. El protocolo opera en los puertos TCP 137, 139 y 445 y en los puertos UDP 137 y 138.
- Asegurese que los DAT que cubren la amenaza han sido desplegados y que han sido actualizados en la totalidad de la red.
- Utilice protección de amenazas avanzadas, principalmente las basadas en tecnologías de nueva generación (Inteligencia Artificial, Machine Learnning y otras).
- Desconfíe de los documentos no solicitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente.
- Mantenga actualizado su software antivirus. Si su antivirus cuenta con módulos de predicción o Next-generation actívelos.
- Si ya se encuentra infectado se recomienda aislar el equipo de la red o apagar según sea el caso.
- No abra archivos adjuntos desconocidos o e-mail con asuntos inentendibles.
- No haga clic en links de correos que desconoce.
O consulta nuestra página web con el contenido de todos los comunicados anteriores
www.widefense.com
Widefense sigue trabajando para recopilar mayor información sobre esta amenaza y otras recomendaciones para entregarle.