TOP

Experimento RansomWare Wanna Cry

Este vídeo no es una guía ni pretende incitar al mal uso de ningún software perjudicial sino todo lo contrario, es un vídeo orientativo que pretende mostrar algunos de los experimentos que he llevado a cabo respecto al ransomware Wanna Cry


Algunas de las conclusiones:
-Cifra directorios remotos/compartidos en otros equipos
-Cifra discos duros y pendrives
-Se ejecuta una vez consumiendo muchos recursos, sobre todo disco duro y hasta que no termina de cifrar no te muestra el cartel
-Cifrará archivo por archivo
-Cifra por extensión, puedes proteger archivos importantes quitando la extensión
-En los directorios exclusivos del sistema no entra para cifrar, es decir lo que haya dentro de archivos de programas y windows no se ve afectado en principio.
-Si eres afectado lo mejor es apagar y entrar desde una distribución linux donde puedes borrar los archivos del virus y recuperar los que aún no se hayan cifrados
-El virus no parece propagarse a otros equipos de la red, pero si cifra directorios donde tenga permisos de escritura
-Si solo tiene permisos de lectura no se verá afectado


El motivo de este vídeo no es perder el tiempo ni demostrar nada, más bien aprender sobre un programa creado para hacer daño.


Básicamente en el vídeo se ven unas simples pruebas o primer contacto con este ransomware.



Yo soy técnico informático y programador, probablemente me comiencen a llegar esta semana clientes con dudas o infectados (si realmente su alcance ha sido tan grande) y como en otros aspectos de mi trabajo me gusta estar informado y compartir impresiones.


Si alguno ha sido infectado o ha detectado alguna característica que se me haya escapado le agradecería que la comentara, cuanta más información se recopile más probabilidades de evitarlo o encontrar soluciones ante una catástrofe.



Básicamente en el vídeo se ven unas simples pruebas o primer contacto con este ransomware.


Este vídeo no está resumido ni pretende ser nada más que un vídeo con un experimento para aquel que quiera verlo porque sea de su interés.
https://www.youtube.com/watch?v=3erLhh9AfWA



Tipos de archivos afectados
Pues pensareis que prácticamente todos los conocidos, por lo que he comprobado si no tiene extensión no será cifrado
Parece que el listado de archivos afectados (puede incluir más...) es el siguiente:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

0 comentarios: