sábado, 13 de mayo de 2017

Microsoft Informa del Ransomware WannaCrypt

Microsoft informo del Ransomware WannaCrypt y su propagación ayer en el siguiente artículo publicado https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems

El día de ayer estuvo dedicado a la agresiva propagación a nivel mundial de un Ransomware que utilizaba una vulnerabilidad conocida en el protocolo SMB versión 1 de los Sistemas operativos Windows, denominada EternalBlue con CVE-2017-0145 y publicada en el boletín MS17-010 del 14 de Marzo del 2017.

Como se explica en la propia pagina de Microsoft el malware trata de contactar con un dominio, si el domino existe, entonces no infecta el equipo.

"The threat arrives as a dropper Trojan that has the following two components:
  • A component that tries to exploit the SMB EternalBlue vulnerability in other computers.
  • Ransomware known as WannaCrypt. 
  • The dropper tries to connect the following domain using the API InternetOpenUrlA(): 
  • hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
If connection is successful, the threat does not infect the system further with ransomware or try to exploit other systems to spread; it simply stops execution. However, if the connection fails, the dropper proceeds to drop the ransomware and creates a service on the system."




A pesar de la repercusión mediática del malware, especialmente en España (caso telefónica) el efecto de este malware no ha tenido una gran incidencia, tampoco en Telefónica como muy bien explica Chema Alonso en su blog El Lado del Mal.

Bernardo Quintero también publicaba en Twitter la información:
"Aquí el código del "bicho", intenta un HTTP GET a esa dirección, si falla continúa, pero sí existe abandona la rutina de infección" @bquintero



Customer Guidance for WannaCrypt attacks 
Catálogo de Microsoft Update (incluidos S.O anteriores)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias