Hoy me siento inspirado para hablar sobre este tema, y empiezo como introducción a lo que fué wannacry.
Que es wannacry?
Se trata de un rasomware que aprovechaba la vulnerabilidad eternalblue filtrada por el grupo The Shadow Brokers, este permitía atacar a equipos con sistema Windows y extendiéndose por las redes locales secuestrando ficheros.
El 12 de mayo de 2017 este virus del tipo rasomware afectó a escala global tanto a reconocidas empresas como a particulares generando una gran preocupación mundial.
Al margen de lo que podamos creer todo virus tiene un objetivo; podemos encontrarnos día a día con equipos con ventanas emergentes, publicitándonos todo tipo de productos para que compremos, están los que intentan engañarnos para que les facilitemos algún tipo de clave; este rasomware concretamente nos mostraba una imagen en la que nos pedía un rescate por desencriptar nuestros datos.
Para mi wannacry es básicamente una evolución de cryptolocker, un troyano nacido en 2013 de similares características, cierto que no tuvo tal alcance como wannacry pero era común en muchos equipos encontrar la información secuestrada por este virus.
Copias de seguridad vs Wannacry
La cura no puede existir antes que una enfermedad, es difícil saber si estamos protegidos ante alguna variante futura, realmente si que me parece curioso que a muchas empresas las haya pillado desprevenidas, las que no tenían copias de seguridad bajo riesgo de perder todo, otras muchas de ellas confiaban en copias de sincronización en la «nube» e igualmente lo perdieron todo.
Personalmente pienso que una copia de seguridad sincronizada es una gran opción para tener los documentos guardados con la máxima frecuencia posible, también es cierto que en caso de infección esta copia será inservible con la misma rapidez con la que se actualice.
Hace muchos años que existen rasomware que encriptan archivos, si queremos proteger tanto servidores como equipos personales debemos tener copias de seguridad sincronizadas además de diarias; y como elemento importante que no sean accesibles desde el servidor(ejemplo una conexión a x horas del día vía ftps) además de mantenerlos siempre actualizados.
¿Cómo se difundió wannacry?
Wannacry principalmente fue difundido a través de correos electrónicos, la víctima abría un correo con el este rasomware el cuál se ejecutaba en la máquina; siempre trato de advertir sobre el uso de correo electrónico para evitar este tipo de sustos, nunca abras correos de dudosa fiabilidad.
Poco después de difundirse este ataque a nivel mundial ya microsoft contaba con una actualización para los sistemas afectados, grandes empresas como Telefónica se vieron afectadas. Fué un experto de Reino Unido el que descubrió que este virus tenía un método de desactivación a traves de la creación de un dominio.
Realmente wannacry formó un gran revuelo, y el impacto hasta ahora es prácticamente el mismo, este virus no roba tus datos; tan solo los secuestra en forma de encriptado en tu propio ordenador.
Antecesores de Wannacry
Comenzamos por Reveton (2012) o comúnmente llamado «virus de la policía», este para mi era de los menos dañinos puesto que únicamente bloqueaba los equipos.
Cryptolocker (2013), de la mano de GameoverZeus se hizo con millones en recompensas para desbloquear los archivos de los equipos infectados.
CryptoLocker.F y TorrentLocker(2014) esta nueva variante de Cryptolocker se valía de los clicks desafortunados de los usuarios que recibían un email falso de entrega de paquetes y mensajería.
Espero que os guste esta última entrada de 2018. !!