Experimento de infección con ransomware Wanna Cry en Windows 10 y analizando la red en busca de intentos de propagación.
Para el vídeo las máquinas tienen la siguiente configuración:
Máscara de red -- 24 bits (255.255.255.0)
IP puerta enlace -- 10.0.2.1
#Windows 7
IP -- 10.0.2.8
MAC -- 08:00:27:50:97:51
#Windows 10
IP -- 10.0.2.7
MAC -- 08:00:27:16:FC:4A
#Debian GNU/Linux Server
IP -- 10.0.2.9
MAC -- 08:00:27:7C:D8:12
Enlace para descargar captura de paquetes con Wireshark:
http://ge.tt/1BWvw8k2
Algunas de las conclusiones:
-Hasta que no termina de cifrar no te muestra el cartel por lo que cuesta darse cuenta cuando está funcionando
-Cifrará archivo por archivo
-Cifra por extensión, puedes proteger archivos importantes quitando la extensión
-En los directorios exclusivos del sistema no entra para cifrar, es decir lo que haya dentro de archivos de programas y windows no se ve afectado en principio.
-Si eres afectado lo mejor es apagar y entrar desde una distribución linux donde puedes borrar los archivos del virus y recuperar los que aún no se hayan cifrados
-El virus no parece propagarse a otros equipos de la red, pero si cifra directorios donde tenga permisos de escritura
-Si solo tiene permisos de lectura no se debe ver afectado
Este vídeo no está resumido ni pretende ser nada más que un vídeo con un experimento para aquel que quiera verlo porque sea de su interés.
Este vídeo no es una guía ni pretende incitar al mal uso de ningún
software perjudicial sino todo lo contrario, es un vídeo orientativo
que pretende mostrar algunos de los experimentos que he llevado a cabo
respecto al ransomware Wanna Cry
Algunas de las conclusiones:
-Cifra directorios remotos/compartidos en otros equipos
-Cifra discos duros y pendrives
-Se ejecuta una vez consumiendo muchos recursos, sobre todo disco duro y hasta que no termina de cifrar no te muestra el cartel
-Cifrará archivo por archivo
-Cifra por extensión, puedes proteger archivos importantes quitando la extensión
-En los directorios exclusivos del sistema no entra para cifrar, es
decir lo que haya dentro de archivos de programas y windows no se ve
afectado en principio.
-Si eres afectado lo mejor es apagar y entrar desde una distribución
linux donde puedes borrar los archivos del virus y recuperar los que
aún no se hayan cifrados
-El virus no parece propagarse a otros equipos de la red, pero si cifra directorios donde tenga permisos de escritura
-Si solo tiene permisos de lectura no se verá afectado
El motivo de este vídeo no es perder el tiempo ni demostrar nada, más bien aprender sobre un programa creado para hacer daño.
Básicamente en el vídeo se ven unas simples pruebas o primer contacto con este ransomware.
Yo soy técnico informático y programador, probablemente me comiencen a
llegar esta semana clientes con dudas o infectados (si realmente su
alcance ha sido tan grande) y como en otros aspectos de mi trabajo me
gusta estar informado y compartir impresiones.
Si alguno ha sido infectado o ha detectado alguna característica que se
me haya escapado le agradecería que la comentara, cuanta más información
se recopile más probabilidades de evitarlo o encontrar soluciones ante
una catástrofe.
Básicamente en el vídeo se ven unas simples pruebas o primer contacto con este ransomware.
Este vídeo no está resumido ni pretende ser nada más que un vídeo con
un experimento para aquel que quiera verlo porque sea de su interés. https://www.youtube.com/watch?v=3erLhh9AfWA
Tipos de archivos afectados
Pues pensareis que prácticamente todos los conocidos, por lo que he comprobado si no tiene extensión no será cifrado
Parece que el listado de archivos afectados (puede incluir más...) es el siguiente:
En la página oficial para el proyecto GNU tienen un apartado para explicar como las empresas Apple y Microsoft son malware a su entender.
Esta organización es bastante inflexible en cuanto a la libertad en torno al software y sobre como actúa con el usuario o mejor dicho, por el usuario.
Para la Fundación de Software Libre (FSF) el malware es algo así:
Malware se refiere al software que es dañino, es decir, que está
diseñado de tal forma que su funcionamiento maltrata o daña al usuario (no
se tienen aquí en cuenta los errores involuntarios)
La definición de malware aunque está definida, no está del todo clara ya que hay muchas definiciones con puntos de vista similares pero no iguales.
En su sitio web comentan más detalladamente por qué han decidido que apple y microsoft son malware.
A parte de explicarnos por qué los consideran software malware el sitio web www.gnu.org contiene cantidad de información que puede ser interesante si te llama la atención el software libre y tu libertad a la hora de utilizar tecnología, sobre todo si valoras tu privacidad.
Puedes consultar la lista de distribuciones libres desde aquí.
En mi opinión (siendo usuario veterano de sistemas operativos GNU/LINUX veterano, principalmente Debian) estoy de acuerdo con el 90% de las cuestiones que se anteponen para valorar el software, pero llevarlo a la práctica en el uso al día día no es factible, sobre todo en entornos de producción. Yo utilizo solo un binario privativo pero no soy capaz de trabajar sin el: driver para GPU NVIDIA
Aunque está claro que la principal libertad es la de poder hacer cada uno lo que más quiera.
Debido a la gran cantidad
de equipos infectados, los cibercriminales han optado por un servicio
donde ofrecen acceso a esos equipos infectados por distintas tarifas.
Los precios cambian según el estado. En primera instancia el acceso a mil equipos ubicados en
Estados Unidos cuesta U$S 200. En el caso de equipos pertenecientes a
Europa, el valor oscila entre U$S 60 y U$S 120. Finalmente el acceso a
equipos dispersos por diferentes regiones del mundo cuesta U$S 20.
El precio varía ya que los ciberdelincuentes
asumen que el poder adquisitivo para compras online de cada host
infectado varía de acuerdo a la región.
Las hosts
infectados en Estados Unidos poseen mayor poder de compra en línea por
lo que el precio es mayor.
Dancho Danchev fue quien informó sobre un nuevo servicio
que ofrece acceso parcial a computadoras infectadas por malware por
diferentes montones de dinero.
Panda Security ha sacado su informe sobre las amenazas informáticas más peligrosas en el 2012. Afirman que les ha sido difícil crear esta lista ya que este año ha estado lleno de amenazas que les ha provocado muchos dolores de cabeza, además solo en 2012 se han detectado mas de 24 millones de nuevos ejemplares de malware. Aqui su lista:
El Virus de la Policía: Para Panda, este es el ejemplar
que más quebraderos de cabeza ha dado tanto a usuarios como a
departamentos de informática de las empresas durante el pasado año.
Muestra un mensaje que parece proceder de los Cuerpos de Seguridad y se
dedica a realizar un bloqueo del ordenador del usuario, utilizando como
excusa que se han realizado supuestas descargas de material ilegal desde
ese equipo. Para recuperar la máquina, se pide el pago de una multa.
Las últimas versiones incluyeron incluso imágenes de la webcam del
usuario, para dar más realismo a la situación. Flame:El malware espía de 2012 por excelencia. Se
trata de una de las armas más potentes creadas hasta la fecha en el
mundo de la ciberguerra, y ha centrado sus infecciones sobre todo en la
zona de Oriente Medio. Flashback: bot que se salió de la norma de infectar
sistemas Windows, tomando como objetivo la fortaleza Apple y atacando a
miles de ordenadores Mac en el mundo. Panda asegura que desde su
aparición, los usuarios de Mac no duermen tan tranquilos como antes. Zeus:Troyano especializado en el robo de información
de clientes de banca online. Es una familia conocida desde hace mucho
tiempo, pero que sigue distribuyéndose. Cabe destacar que este año se
han detectado nuevas variantes que, además de que infectar el PC,
atentan contra la seguridad de los smartphones (android, blackberry,
symbian), para aprovecharse de aquellos bancos que envían información al
teléfono móvil de sus clientes como medida extra de seguridad. Koobface: Se ha dedicado durante todo 2012 a propagar
un sinfín de mentiras a través de las redes sociales para intentar
infectar a los usuarios. Destaca el ataque en el que hablaba de un
supuesto puñetazo que el presidente Obama le había asestado a una
persona por insultarle con comentarios racistas. BlackHole Exploit kit:Ha sido el más utilizado por los
creadores de malware durante este año para infectar a los usuarios. Se
aprovecha de múltiples agujeros de seguridad para poder instalar malware
en el ordenador del usuario sin que este se percate de nada. Utiliza
todo tipo de exploits, siendo los más frecuentes los de Java y Adobe. DarkAngle:Un falso antivirus que se hacía pasar por
Panda Cloud Antivirus. De esta forma, aprovechando la fama del antivirus
gratuito desde la nube de Panda Security, obtendría un número mayor de
infecciones. Kuluoz: Un gusano que aprovecha supuestas compras realizadas por el usuario para infectar el sistema.
Solo os puedo decir cuidado donde entráis y los datos que dejáis expuestos a riesgos.
