Aterrorizado por Wanna Cry Ransomware?

WannaCry, también conocido como WannaCrypt, WanaCrypt0r 2.0 y Wanna Decryptor, ha afectado a más de 70 países en un ataque sin precedentes, mismo que fue lanzado el pasado 12 de mayo de 2017.

Recientemente, corredores ocultos habían filtrado las herramientas y la vulnerabilidades de hacking de las agencias de espionaje de los Estados Unidos, una de ellas era el Eternal Blue exploit, mismo que se relaciona con un SMB Exploit para hackear otras PC conectadas en una red. Hasta ahora, el Ransomware ha afectado a más de 200 mil computadoras en todo el mundo.

Ataque WannaCry - Mapa global de ataques:

¿Cómo puede afectarle?:


WannaCry Ransomware, está dirigido para afectar principalmente a los sectores de Salud, Financieros, Manufactura y Gobierno; así como a usuarios caseros, mismos que fueron víctimas de este severo ataque y que como resultado, paralizo la industria y género una pérdida de información valiosa. Algunas estimaciones preliminares, también informan que este ataque fue lanzado para capturar información bancaria de las personas que pagaron los rescates con bitcoins. Este Ransomware, también desato desconfianza entre empresas y sus clientes. Para el descifrado de encripción, la demanda era de 300 dólares pagaderos en bitcoins, para recibir la clave de descifrado; sin embargo realizar el pago no fue una garantía. En algunos casos, los atacantes duplicaron el monto a pagar y condicionaron al usuario a realizar el pago antes de 48 horas y para que sus datos no fueran borrados por completo.
WannaCry Ransomware, explotó la vulnerabilidad del sistema operativo Windows, descubierta por NSA anteriormente y Microsoft, ya había proporcionado el parche respectivo, el 14 de marzo con un asesoramiento para actualizar los sistemas.

¿Cómo protege eScan contra los ataques de Ransomware?


El Motor de Análisis de Comportamiento Proactivo “PBAE” (por su siglas en ingles), escanea y monitorea la actividad de todos los procesos en la Máquina Local y cuando encuentra cualquier actividad o comportamiento que coincida con un Ransomware, se eleva una bandera roja y se bloquea el proceso. En caso de que un sistema infectado intente acceder al recurso compartido de red de una computadora protegida con eScan, PBAE invalidará inmediatamente la sesión de red, generando la desconexión de la unidad compartida.

A demás de la detección y bloqueo del WannaCry, PBAE, también bloquea con éxito el 99.99 de los ataques de Ransomware, tales como, Locky, Zepto, Crysis, entre otros. Además, al analizar los datos recopilados a través de nuestro Cloud (ESN), podemos detectar y mitigar con éxito miles de ataques de Ransomware a nivel mundial.
El Control de Virus Activo (AVC), integrado en eScan, también protege proactivamente al sistema de cualquier infección, cuando se ejecuta en tiempo real. En suma, no solo el PBAE, protege; también el AVC, identifica y bloquea la ejecución de malware y troyanos, incluyendo Ransomware de todos los tipos y variantes existentes o nuevos.

Estadísticas:

Según el eScan R & D, los datos de telemetría recogidos del servidor de nube, muestra que a partir del 14 de mayo de 2017 la infección WannaCry se está reduciendo, después del aumento de infecciones reportado el 12 de mayo. Sin embargo, tomando en cuenta que en los últimos dos días no hubo actividades, es lógico pensar que los avisos que se generan en todo el mundo no son confiables y que habrá un incremento considerable en la detección de intentos de la infección de WannaCry.
Además, dado que los seres humanos son el eslabón más débil de todo el ecosistema de Seguridad de TI, creemos que aunque se han publicado advertencias y todo el mundo ha sido informado del ataque de WannaCry, es necesario emitir comunicados internos en las empresas y sector gobierno, para que los empleados no accedan a abrir archivos adjuntos de fuentes desconocidas, recibidas a través de correos electrónicos; así como también, los administradores de seguridad interna, deben implementar el parche de seguridad emitido por Microsoft a través de su sitio web oficial.
Nuestro informe de amenazas se puede ver visitando este enlace:https://www.escanav.com/en/threat-report/

WannaCry la extensión


WannaCry. Después de cifrar los archivos, la extensión cambia a uno de las siguientes:

  • .WNCYR
  • .WCRY
  • .WCRYT
  • .WNCRY
  • .WNCRYT
  • .WNRY

Medidas de Prevención:


  • Descargar e Implementar el Parche MS17-010 desde la siguiente liga:
    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Los administradores deben bloquear la recepción de todos los archivos ejecutables transmitidos a través de correo electrónico.
  • Los administradores deben aislar las computadoras afectadas en la red.
  • El administrador puede restaurar los archivos cifrados de la copia de seguridad o del punto de restauración del sistema (si está activado) para los sistemas afectados..
  • Instalar, Configurar y Activar en eScan, los módulos de Seguridad.i) Monitor de Tiempo Real

    ii) Protección Proactiva

    iii)Prevención de intrusos

  • Los usuarios no deben habilitar macros en los documentos.
  • Las organizaciones deben implementar y mantener una solución de copia de seguridad.
  • Lo más importante, las organizaciones deben implementar MailScan en el nivel de puerta de enlace para servidores de correo, para contener la propagación de archivos adjuntos sospechosos.