La respuesta de Shankar Bhuvanesh a ¿Cómo afectó el Ransomware ‘WannaCry’ a tantos dispositivos?
Un ransomware es un software malicioso que se utiliza para infectar la PC de tal manera que la víctima tiene que pagar una cantidad de rescate para recuperar el acceso completo a la PC o los archivos.
Entonces, ¿cómo se propaga el material de rescate:
- ¿Qué tan bueno es Apple en informática distribuida?
- Cómo convertirse en un técnico
- ¿Cuáles son algunas aplicaciones de la semántica computacional?
- ¿Qué es mejor para la informática: la Escuela de Ingeniería USC Viterbi o la Universidad de Washington?
- ¿Por qué es difícil programar NP?
- correos electrónicos de phishing
- software malicioso
- ingeniería social para instalar los archivos
- mal usb (MR.ROBOT STYLE)
ATAQUES ANTERIORES DE ALMACENAMIENTO DE RANSOM que pasaron por debajo del capó
¿QUÉ HACE QUE EL WANNA CLY SEA ÚNICO?
NO ES CON EL RANSOMWARE PERO ES SU EXPOSICIÓN ZERODAY QUE LO HIZO HOY UN FENÓMENO GLOBAL.
EL ALMACEN DE RANSOM ESTABA DIRIGIDO AL ACCIONISTA MAYORISTA EN EL SISTEMA OPERATIVO que no sea Windows OS
focalización
- Windows XP
- Windows Vista
- ventanas 7
- ventanas 8
- ventanas 10
la mayoría de las máquinas son vulnerables
- máquinas pos
- cajeros automáticos
- metro
- sistema de control de tráfico
- bancos
- servidores
- hospitales
- restaurantes
- y muchos más
Este combo mortal empeoró la condición de la víctima y se convirtió en uno de los ransomware más eficientes del mundo.
t
ahora entrando en los detalles del wannacry: (fsecure)
Cuando se mira desde una perspectiva técnica, WCry (en sus dos componentes binarios) tiene las siguientes propiedades.
- Compuesto por dos binaries.mssecsvc.exe de Windows: un gusano que maneja la propagación y suelta payload.tasksche.exe: un troyano de ransomware que el gusano deja caer.
- Los binarios de Windows tenían algunas variantes, pero en número limitado y no se utilizó polimorfismo.
- Se extiende sobre el puerto 445 de SMB utilizando una vulnerabilidad contra MS17-010 que estaba disponible públicamente en exploit-db [.] Com. Originalmente, el exploit se obtuvo de herramientas de la NSA filtradas por un grupo llamado “Shadow Brokers”. La vulnerabilidad MS17-010 estaba en todas las versiones de Windows hasta Windows Server 2016, por lo que este ataque afectó más que solo Windows XP. Pero XP / Server 2003 no tenía actualizaciones públicas disponibles antes del 14 de mayo.
- Incluye la funcionalidad “kill switch” marcando www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com que los autores de WannaCry no habían registrado y, por lo tanto, podrían ser utilizados por @malwaretechblog, para detener su propagación. Se ha visto alguna “edición hexadecimal”. idiota “variantes de WCry; personas que modifican el malware original con un editor de archivos con la esperanza de deshabilitar el interruptor de interrupción o cambiar su funcionalidad.
- Escanea la red local e Internet para detectar nuevos hosts para infectar.
- A pesar de los primeros informes de distribución por correo electrónico, nadie ha podido confirmar ningún otro vector de infección que SMB.
Este brote de malware no debería haber podido suceder. Y el hecho de que el brote no fue aún peor es gracias a la diligencia de los administradores de TI de todas partes aplicando parches y manteniendo las configuraciones de firewall. Sin su trabajo, el brote habría sido mucho peor. Por ejemplo, una estimación baja para las computadoras infectadas por el gusano W32 / Blaster fue de 8 millones de computadoras y podría haber sido tan alta como 16 millones.
la hazaña detrás del deseo de llorar es eterna hazaña azul
EternalBlue explota una vulnerabilidad en la implementación de Microsoft del protocolo Server Message Block (SMB). A pesar de que la vulnerabilidad se resolvió mediante la actualización de seguridad (MS17-010) proporcionada por Microsoft el 14 de marzo de 2017, muchos usuarios de Windows todavía no habían instalado este parche de seguridad cuando, el 12 de mayo
¿A quién culpar por el ataque?
- corredores en la sombra para hacer realidad las herramientas en línea
- wikileaks por hacernos darnos cuenta de cuán vulnerables son los dispositivos en línea
- piratas informáticos para utilizar los ataques para difundir ransomware
- usuario para no parchear dispositivos con las actualizaciones
todos los medios dicen que los hackers están haciendo esto, retrocedamos en el tiempo y veamos qué pasó
7 de marzo:
wikileaks lanza las herramientas de cia
8 de abril: –
22 de abril :-
9 de mayo: –
Microsoft emite parches para otras cuatro vulnerabilidades de día cero
12 de mayo: –
Así que estas vulnerabilidades fueron identificadas por nsa y fueron utilizadas por piratear máquinas basadas en Windows y espiar a las personas Y, finalmente, wikileaks nombró las herramientas utilizadas por ellos y así en el grupo de ecuaciones para deshacerse de todas las herramientas y resistir a los piratas informáticos que usaron las herramientas para propagar ransomware
demo1 de doble pulsar exploit (smb):
demo-2 wannacrypt:
la prevención es mejor que curar, así que veamos la prevención de ataques como este en el futuro
- Mantenga su sistema actualizado: en primer lugar, si está utilizando versiones compatibles pero anteriores del sistema operativo Windows, mantenga su sistema actualizado o simplemente actualice su sistema a Windows 10.
- ¿Utilizando el sistema operativo Windows no compatible? Si está utilizando versiones de Windows no compatibles, como Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia lanzado por Microsoft hoy.
- Habilitar firewall: habilite el firewall y, si ya está allí, modifique las configuraciones de su firewall para bloquear el acceso a los puertos SMB a través de la red o Internet. El protocolo funciona en los puertos TCP 137, 139 y 445, y en los puertos UDP 137 y 138.
- Deshabilitar SMB: siga los pasos descritos por Microsoft para deshabilitar el Bloque de mensajes del servidor (SMB).
- Mantenga actualizado su software antivirus: las definiciones de virus ya se han actualizado para proteger contra esta última amenaza.
- Realice copias de seguridad con regularidad: para tener siempre un control estricto de todos sus archivos y documentos importantes, mantenga una buena rutina de copia de seguridad que haga sus copias en un dispositivo de almacenamiento externo que no siempre esté conectado a su PC.
- Cuidado con la suplantación de identidad: siempre sospeche de los documentos no invitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente