WannaCry 2.0 (Prevención e Incidencias)

[Wkr]

Imagino que os habréis enterado ya del ciberataque de esta semana.
Ha sido bastante gordo. El más grande en España de su historia.
La encriptación está siendo dura (de momento, piden 300$ para liberar el pc).
Pero vamos, si se os cuela dad por jodidos los datos.
Hay bastantes incidencias en España (el ataque a nivel mundial empezó aquí, en Telefónica).
 
El CCN-CERT recomienda lo siguiente:

Actualizar los sistemas a su última versión o parchear según informa el fabricante
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Para windows 7 64bits tenéis que meterle este parche: windows6.1-kb4012212-x64.msu

Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en routers.

Y cada vez que arranques el ordenador pasadle este script (o añadirlo en el arranque).
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4476-herramienta-para-prevenir-la-infeccion-por-el-ransomware-wannacry.html

[Zaranthir]

¿Pero este ataque está afectando también a particulares? Porque por lo que había visto en la tele pensaba que solo afectaba a redes de empresas.

[Wkr]

Cualquier persona conectada e internet es susceptible de ser infectado.
Siempre y cuando use windows y no tenga parcheada la incidencia ms17-010.
Básicamente, gracias a un agujero en el samba (SMB) se conectan remotamente a tu ordenador y te cuelan el ransomware.
Y tome medidas de precaución como antivirus actualizados, mutex (algoritmo de exclusión mutua). etc.
El ransomware este aprovecha un agujero que se dio a conocer por wikileaks y que microsoft ya parcheó en marzo de este año. El problema es que la mayoría de gente no mete las actualizaciones de seguridad de microsoft. Y luego pasa, lo que pasa.
Si se te cuela, te dará un pantallazo azul advirtiendote de que has sido cazado. Y o pagas 300$ por bitcoins o tus datos de tu disco duro quedarán encriptados (perdiendo por tanto el acceso a ellos).
No es por ser alarmistas, pero es que solo en Europa llevamos ya más de 200.000 infecciones.
A este ritmo, en una semana, no habrá nadie que no conozca a alguien que le haya pasado.
 

[Antonio Carrasco]

¿Y si tienes un windows vista más antiguo que hacer pis de pie? ¿También es vulnerable? ¿O mejor tiro el ordenador directamente?

[Wkr]

Sí, son vulnerables.

Los sistemas afectados que disponen de actualización de seguridad son:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

Para Windows 8, Windows XP, Windows Vista y Windows Server 2003,  microsoft ha reaccionado rápido proporcionando un parche un parche de seguridad (KB4012598)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Más info y recomendaciones (en inglés).
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

[Karinsky]

Cada vez más feliz con Ubuntu en casa (y van 7 años )

De todos modos gracias por el parche para XP, lo tengo como secundario para cuatro pijaditas que necesitan Windows y hace meses que no lo uso así que no estará actualizado.

[lluribumbu]

Gracias por toda la info Wrk, pensaba que  con no abrir ningun  correo sospechoso ya bastaba.

[ruloma]

Yo tengo win10 actualizado al día, pero aún así me gustaría verificar e instalar el parche a mano.
Según las actualizaciones de Microsoft, hay varias versiones de Win10 (1511 1607...) ¿cómo sé que version tengo instalada? Antes era fácil verlo, pero en este Win10 no soy capaz de verlo. ¿alguno sabe?
Gracias!

[Juan]

En casa tengo Win10 actualizado, ¿debería instalar el script y tomar más precauciones?

En el trabajo tengo linux y de momento los informátivos no han llamado para decir nada... pero bueno, eso es normal XD

[Wkr]

El CERN ha actualizado su vacuna (NoMoreCry-v0.2.exe).
https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

[Wkr]

Yo tengo win10 actualizado al día, pero aún así me gustaría verificar e instalar el parche a mano.
Según las actualizaciones de Microsoft, hay varias versiones de Win10 (1511 1607...) ¿cómo sé que version tengo instalada? Antes era fácil verlo, pero en este Win10 no soy capaz de verlo. ¿alguno sabe?
Gracias!

http://www.abueloinformatico.es/tutoriales/Windows_10/windows-10-historial-actualizaciones.pdf

[fosfoman]

Por mi empresa pasó algo de esto, pero con una versión anterior. En realidad todo se hubiera impedido con un poco de cabeza. Por algún motivo poco claro, un servidor quedó expuesto a accesos remotos a través del router y alguien consiguió saltarse la seguridad, validarse y arrancar el script de turno que empezó a encriptar ficheros.

Poco después, alguien recibió un correo electrónico, abrió el documento adjunto, habilitó las macros o lo que fuera que no debía habilitar y... alehop! Virus barriendo la red en busca de ficheros en carpetas compartidas y cosas así.

Nada que no se solucionara con un poco de trabajo, aunque sí que se bloqueó una parte del sistema durante unas cuantas horas. Copias de seguridad a mano para restaurar todo rápidamente y ojito con el correo y dejar la puerta abierta a cualquiera.

[Wkr]

Más noticias.

Microsoft culpa a la NSA norteamericana de los ataques.

Y han detectado ya una nueva versión de WannaCry en China que se salta los "cortafuegos" establecidos tras la primera oleada de ataques de ransomware.

[kalamidad21]

en mi empresa paso algo parecido.. un ranson de los cojones, hará cosa de año  y medio, encriptó todo.

no me pregunten como, pero conseguí sacar toda la información de un punto de restauración raro que hace windows...y pude salvarlo todo.

no se si sería capaz de hacerlo otra vez, ni explicar como lo hice

[ardacho]

En mi empresa me ha entrado un par de veces el cryptolocker. Ya puedes estar a la última de parches de seguridad, antivirus, cortafuegos y demás mandangas que si el virus es un recién nacido y tus usuarios pasan de tus indicaciones y abren cualquier cosa que les llegue a sus correos...

A tirar de backups y lo arreglas más o menos bien, pero el disgusto y la mala leche no te la quita nadie durante unos días