¿Qué hago si WannaCrypt (u otro malware) ya infectó mi equipo?
Espero sinceramente que si estás leyendo este post este no sea tu caso, sin embargo, acá voy a plantear una posible solución contra la mayoría de software malicioso de este tipo; no sin antes acotar que la mejor solución siempre está en una buena prevención.
Esta es la ventana que no querrás ver jamás en tus equipos | Fuente: Xataka
Comencemos colocándonos en contexto:
¿Qué es WannaCrypt?
Todo comenzó una bella mañana de viernes, cuando los empleados de Telefónica España se preparaban para culminar las labores empresariales y disfrutar de un primaveral fin de semana; lo que no se esperaban es que en cuestión de horas sus oficinas se convirtieran en un caos tal que atrajeran la atención de los medios internacionales.
Según reportó El Mundo alrededor del 85% de los equipos de la compañía habrían sido afectados por una variable del malware “WannaCrypt”(nombre que viene de la expresión "Quiero llorar" y la palabra "encriptación" en inglés), un gusano del tipo ransomware, que se esparce rápidamente por la red de una compañía y encripta los ordenadores, dejándolos inutilizables hasta que se haga el pago de 300 USD (unos 870.000 COP) en Bitcoins por cada máquina infectada; si el rescate no se paga antes de la fecha límite, los ciberdelincuentes eliminan toda la información del equipo indiscriminadamente.
Puedes ver la explicación de uno de nuestros aliados estratégicos sobre lo que es el ransomware, en el siguiente video:
Ransomware según ESET | Fuente: ESET Latinoamérica
No se sabe con exactitud la cantidad de dispositivos infectados en Telefónica (aunque se calcula en cientos), y aunque sabemos que el ataque no afectó a los usuarios de Movistar, si paralizó las operaciones de la empresa durante numerosas horas, incluyendo su servicio al cliente.
Telefónica solo fue la punta del Iceberg.
La compañía española pudo reponerse rápidamente del fallo, apoyándose en su infraestructura de seguridad informática y sus socios en TI; pero ellos solo fueron el primer banderazo para activar las alarmas, ya que WannaCrypt rápidamente se esparció durante el fin de semana a miles de equipos de grandes corporaciones (especialmente en España y Reino Unido, aunque, según Avast, ha afectado más de 99 países), dentro de las que se señalan BBVA, Vodafone, Iberdrola, Gas Natural de Madrid y algunos servicios gubernamentales y hospitales en Gran Bretaña.
El botón de apagado y un héroe accidental.
Antes de que WannaCrypt se expandiera por toda la red global, fue un aficionado (@MalwareTechBlog) quien, casi por casualidad, descubrió un “switch off” dentro del código del gusano.
Básicamente WannaCrypt antes de ejecutarse enviaba una requisición a una DNS no registrada, si obtenía respuesta no se ejecutaba, pero al no recibirla se ejecutaba infectando a todos los equipos de la red. @MalwareTechBlog lo único que tuvo que hacer fue pagar 10 EUR por registrar esa DNS a su nombre e inmediatamente comenzó a recibir requisiciones de miles de máquinas afectadas, las cuales al recibir respuesta del host “dormían” la infección.
Aunque este amateur no estaba seguro de lo que hacía, como él mismo lo ha dicho, sí que se ha ganado un buen lugar en el salón de la fama de los héroes accidentales.
Sin embargo, esta solución ha sido solo parcial, ya que fácilmente los ciberdelincuentes podrían liberar una nueva versión del malware que no incluya este interruptor y afectar nuevamente a miles de equipos.
¿Por qué se esparció WannaCrypt?
WannaCrypt explotaba una vulnerabilidad existente en los equipos con sistemas operativos Windows, que había sido reparada recientemente en su última actualización de seguridad, así que si todos los equipos de tu compañía cuentan con software legal y 100% actualizado, felicidades WannaCrypt no te afectará.
Además, Microsoft ya ha proporcionado el parche oficial “MS17-010” que cierra la vulnerabilidad explotada por este malware y está ofreciendo soporte personalizado a tres de sus SO obsoletos (Windows XP, Windows 8.0 y Windows Server 2003) de cara a este ataque.
Entonces ¿Cómo me protejo de un ataque cibernético?
Aunque no sabemos en qué momento va a llegar a nosotros un ciberataque, sí que podemos estar preparados, algunas de nuestras recomendaciones son las siguientes:
Realiza backups periódicamente configurando un software de confianza, como Acronis, y manteniendo los archivos de respaldo en dispositivos aislados de tu red.
Usa un antivirus potente y liviano. Aunque las copias originales de Windows ya incluyen Windows Defender, está es apenas una primera capa de seguridad, siempre es bueno inyectarle esteroides instalando un software protector, que sea potente pero que no ponga lentos los equipos, nuestra recomendación es ESET NOD32.
Mantén tu software legal y actualizado. Como vimos en el caso de WannaCry, la mayoría de malware aprovecha vulnerabilidades que ya son conocidas y han sido parchadas, por eso es indispensable contar siempre con las últimas actualizaciones de nuestro software; sin embargo, la única forma de recibirlas, es contar con copias legales y registradas del mismo.
Verifica las extensiones. Las extensiones son las últimas letras de un archivo que nos indican su codificación y función. La mayoría de malware llega a nuestros equipos utilizando técnicas de phishing y disfrazándose de archivos comunes como los .docs (Word) o .xlxs (Excel), pero que en realidad ocultan una extensión .exe, .vbs o .scr (archivos ejecutables, por ejemplo informe.doc.exe). Nunca ejecute archivos de procedencia sospechosa, y si encuentra en algún dispositivo archivos de cuya extensión no está seguro, evite abrirlos.
No te quedes con lo básico. Las acciones básicas nos protegen de los riesgos básicos, sin embargo existen muchas más herramientas para hacer a tu empresa prácticamente invulnerable ante los ciberdelincuantes, que atacan tanto dentro como fuera de la organización, puedes explorar cuales son haciendo click acá.
Puede ver también las recomendaciones que hizo el presidente Juan Manuel Santos respecto a WannaCrypt, en este informe de CM&.
¿Qué hago si ya estoy siendo víctima de un ransomware?
Como lo dije al principio del post, espero que esta no sea la razón por la que llegaste acá, pero si estas siendo víctima de un secuestro electrónico o un virus que inhabilita tu equipo, existe una solución (parcial) que explicaré ahora.
No pagues el rescate. Además de fomentar y seguir financiando los ciberataques, nada garantiza que el secuestrador no te exija más dinero o pueda hacerte víctima de un nuevo ataque después de un tiempo.
Aísla de la red a todos los dispositivos infectados y al hardware que haya tenido contacto con estos. Esto evitara que la infección se propague en más equipos.
Obtener un Live CD/DVD de un antivirus confiable. Ojo, los Live CD/DVD son diferentes a los discos de instalación. Un Live CD/DVD ejecuta un SO independiente y alterno, creando un espacio donde el antivirus puede ejecutarse libremente. Si su equipo no cuenta con unidad de CD/DVD, puedes utilizar una Live USB, pero que no haya tenido contacto con ningún dispositivo infectado.
Desconectar el equipo y arrancarlos con el Live CD/DVD/USB del antivirus. Una vez el SO del Live CD/DVD/USB se esté ejecutando, seguramente le pedirá que se conecte a internet para descargar las actualizaciones más recientes del antivirus; ahora sí es seguro conectarse a internet.
Permite que el antivirus se actualice y ejecútalo desde el entorno seguro. Si has hecho todo correctamente y utilizaste un antivirus confiable, se habrá liberado tu equipo de los archivos corruptos causantes del mal funcionamiento.
Reinicia el equipo en tu SO tradicional. Es posible que sea necesario recuperar algunos archivos dañados, pues como mencioné, esta es solo una solución parcial, que no remplazará jamás a la prevención.
Siempre es mejor consultar. Si no sabes cómo conseguir un antivirus confiable o no quieres arriesgarte a causar mayores lesiones a tus archivos, siempre es mejor consultar a un experto.
En el caso colombiano, el Ministerio de Defensa, el MinTIC, la Policía Nacional y ColCERT, han lanzado conjuntamente una línea de emergencia gratuita para la “Atención de la amenaza cibernética WannaCrypt”, a la cual puedes acceder a través del 01800 0910742 opción 4.
Nunca te dejes guiar por el pánico, esto es lo que siempre buscan los delincuentes cibernéticos. Más bien, puedes compartir este post para que tus colegas, compañeros y amigos también sepan como estar protegidos.
ACTUALIZACIÓN:
El presente artículo ha sido actualizado de cara nuevas soluciones que han aparecido para contrarrestar las infecciones de WannaCrypt. Por tanto en Kiseki IT hemos decido adicionar la siguiente información.
La llave maestra de Telefónica.
Como mencionamos anteriormente, Telefónica fue la primera gran empresa en ser afectada por este ransomware, sin embargo también fue una de las primeras en salir victoriosa de la batalla, gracias a las medidas preventivas aplicadas por su precavido equipo de TI. Este es el mismo equipo que ha desarrollado la "Telefónica WannCry File Restore", un script de PowerShell capaz de recuperar los archivos encriptados por el virus.
Sin embargo, esta herramienta debe ser aplicada inmediatamente ocurre la infección, pues solo funciona mientras los archivos permanecen encriptados, es decir, antes de que se venza el plazo para pagar el rescate, ya que después de esto, los atacantes eliminan los archivos del dispositivo victima.
Podrás encontrar la información oficial actualizada de esta utilidad siguiendo este enlace.
Wannakey y Wannakiwi.
Wannakey fue otra de las herramientas que surgió de cara a este ataque mundial, estando principalmente enfocada a equipos con Windows XP; a partir de esta, Matt Suiche, uno de los experto en seguridad informática que más atención prestó al virus, desarrolló Wannakiwi, la cual es capaz de descifrar archivos comprometidos en las versiones XP, 7 y 2003 del SO de Microsoft.
La solución aprovecha vulnerabilidades del "Microsoft Cryptographic Application Programming Interface", el proceso utilizado por Windows y WannaCry para encriptar y desencriptar ficheros.
Aunque el programa de Suiche ya ha recibido la validación de Europol (Oficina Europea de Policía), cuenta con una gran debilidad, solo es efectiva si se ejecuta antes de que el usuario reinicie el equipo, por lo que su aplicación debe ser prácticamente inmediata.
Por tanto, en esta actualización reiteramos que la mejor solución está en una buena prevención.
