Aviso sobre ransomware Wannacry

Seguridad Ashton Inc.

Noticias

17 de mayo de 2017

Desde el 13 de mayo de 2017, una infección de ransomware de rápida propagación conocida como WannaCry ha estado causando problemas importantes en todo el mundo.

Para el aviso de ciberseguridad que proporciona información de fondo sobre el ataque, el producto afectado/no afectado y orientación adicional sobre lo que los instaladores y los usuarios finales pueden hacer para evitar que sus dispositivos se vean comprometidos.

Si tiene sistemas de seguridad afectados, no dude en contactarnos aquí.

Soporte@ashtonsecurity.com

¿Qué es el ransomware? El ransomware es un tipo de malware que afecta a sus víctimas cifrando los archivos del sistema infectado. El software informa a la víctima de la infección y exige un pago para liberar los archivos.

¿Cómo se está propagando WannaCry?

WannaCry se aprovecha de una vulnerabilidad recientemente descubierta en la implementación del protocolo Server Message Block (SMB) de Microsoft, llamado EternalBlue. Después de infectar un sistema vulnerable, WannaCry escaneará en busca de equipos vulnerables en la misma red y buscará sistemas vulnerables al azar en Internet.

¿Qué tipos de productos son vulnerables?

Este proceso de infección solo es posible en dispositivos Windows con SMB habilitado. Windows 10 no es vulnerable.

Desde el 13 de mayo, una infección de ransomware que se está extendiendo rápidamente ha estado causando problemas importantes en todo el mundo. En abril, un grupo llamado “The Shadow Group” reveló varios exploits, incluido un vector de infección previamente desconocido conocido como EternalBlue, que aprovecha una vulnerabilidad en el protocolo SMB de Windows. El ransomware WannaCry utiliza este exploit para infectar a sus víctimas. Su impacto generalizado se debe a la capacidad de WannaCry de autopropagarse.

Afortunadamente, Microsoft había creado y publicado actualizaciones para solucionar esta vulnerabilidad antes de que The Shadow Group la divulgara. Microsoft incluso publicó actualizaciones para Windows XP, Windows 8 y Windows Server 2003, cuyo ciclo de soporte técnico finalizó el 13 de mayo. Sin embargo, muchos sistemas aún no han aplicado estas actualizaciones.

Prevención del ransomware

La mayoría del ransomware se propaga a través de ataques de ingeniería social, como archivos adjuntos de correo electrónico infectados, pero ataques como el utilizado por WannaCry explotan vulnerabilidades en el sistema.

Las actualizaciones de seguridad periódicas y las herramientas antivirus pueden evitar que se produzcan muchos ataques. Sin embargo, la mejor medida preventiva es realizar copias de seguridad periódicas del sistema. Las copias de seguridad deben guardarse en un lugar externo para que, si un sistema se infecta, se pueda recuperar sin tener que pagar el rescate.

¿Qué pueden hacer los instaladores y los usuarios finales? Aplicar actualizaciones de seguridad de Windows Microsoft ha publicado un parche de seguridad (MS17-010) en marzo para las versiones de Windows compatibles actualmente.

En mayo, Microsoft también lanzó un parche para Windows XP, Vista, 8, Server 2003 y 2008 disponible aquí .

Deshabilitar SMB

Siempre que sea posible, deshabilite el Bloqueo de mensajes del servidor (SMB) en el sistema vulnerable. Este protocolo está habilitado de manera predeterminada en Windows, pero la mayoría de las aplicaciones de Tyco Security Products no lo utilizan.

1. Vaya al Panel de control de Windows y abra “Programas”.
2. Abra “Características” en Programas y haga clic en “Activar y desactivar características de Windows”.
3. Ahora, desplácese hacia abajo para encontrar 'Soporte para uso compartido de archivos SMB 1.0/CIFS' y desmárquelo.
4. Luego haga clic en Aceptar, cierre el Panel de control y reinicie el equipo.