WanaCrypt0r o también conocido como “WannaCry” es un ransomware “activo” que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el codigo malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros, a:
Rusia: red semafórica, metro e incluso el Ministerio del Interior;
Reino Unido: gran parte de los centros hospitalarios;
Estados Unidos;
España: empresas tales como: Telefónica, BBVA, Gas Natural e Iberdrola.
El ransomware cifra los datos, para poder recuperarse pide que se pague una cantidad determinada, en un tiempo determinado en una moneda o medio de pago determinado. Si el pago no se hace en el tiempo determinado, el usuario no podrá tener acceso a los datos cifrados por la infección. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España, al igual de que se señala que los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio, WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.
Estamos en la conjunción de dos actividades por parte de un mismo malware, ya estamos al conocimiento de su existencia, se ve a menudo empresas infectadas por este tipo de Crypto looker, montones de variedades de este mismo malware que engaña al usuario a que abra un archivo adjunto o conectar a un enlace que descarga este malware que al ejecutarse en el computador cifra su contenido desplegando un mensaje donde exige dinero en bitcoins para el rescate de su información, WannaCry como mutación de este tipo de crypto looker viene con una capacidad de propagación a mayor escala, existe una vulnerabilidad que lleva explotando la NSA (National Security Agency) desde 20011, permite a cualquier persona que conoce la existencia de esta vulnerabilidad y tuviese este software malicioso puede ejecutar cualquier cosa en un servidor windows con servicios o recursos expuestos en redes locales o publicas, este malware se propaga infectando los demás equipos y dispositivos móviles vía wifi o cable físico.
Busca especialmente maquinas windows que no han sido parchadas, contra esta vulnerabilidad e inyectando el virus, enviando información del usuario a un servidor remoto y devolviendo un mensaje de rescate de información.
¿se puede recuperar la información encriptada con wannacry?
Lo primero que tiene que hacer es contar con un profesional en el área de sistemas mas exactos en programación, ya que en internet existen multiples resultados de busqueda que dicen recuperar tu información, pero lo único que buscan es tu dinero, el medio de pago que usan es el bitcoin (moneda electrónica no rastreable), encriptar un fichero, archivo o carpeta conlleva tres aspectos: 1) Tener el software para codificar, 2) Archivos a ser encriptados, 3) Clave de encriptación – Desencriptación, en este orden de ideas de las tres solo tenemos nuestra información encriptada, tendríamos que descifrar que software fue usado para encriptar la información y lo mas difícil saber cual fue la clave para encriptarla, ahora eso solo para los efectos del virus…”su propagación se efectúa mediante llamadas a dominios web no existentes que efectaundo un registro de los dominios se redirecciona a un servidor especifico”, volviendo al tema !la solución¡ solo un especialista en seguridad informática puede identificar el software, mediante la toma de muestras (la ejecución de virus y analizando su “kill switch“, solo una persona que esta en contacto con la encriptación de información) puede identificar que tipo de “password” fue usado para ponerle el sello a cada bite de información y como estamos hablando no de lammers ni de hackers (ellos “construyen”), lo mas seguro que el password es de tipo (alfanumérico y que debe tener una pizca de caracteres especiales), lo que dificultara descifrarla, pero los profesionales del teman sabrán que hacer.
