¿Qué es el virus ransomware? ¿Cómo ataca una computadora?

La respuesta de Shankar Bhuvanesh a ¿Cómo afectó el Ransomware ‘WannaCry’ a tantos dispositivos?

Un ransomware es un software malicioso que se utiliza para infectar la PC de tal manera que la víctima tiene que pagar una cantidad de rescate para recuperar el acceso completo a la PC o los archivos.

Entonces, ¿cómo se propaga el material de rescate:

  1. correos electrónicos de phishing

  1. software malicioso

  1. ingeniería social para instalar los archivos

  1. mal usb (MR.ROBOT STYLE)

ATAQUES ANTERIORES DE ALMACENAMIENTO DE RANSOM que pasaron por debajo del capó

¿QUÉ HACE QUE EL WANNA CLY SEA ÚNICO?

NO ES CON EL RANSOMWARE PERO ES SU EXPOSICIÓN ZERODAY QUE LO HIZO HOY UN FENÓMENO GLOBAL.

EL ALMACEN DE RANSOM ESTABA DIRIGIDO AL ACCIONISTA MAYORISTA EN EL SISTEMA OPERATIVO que no sea Windows OS

focalización

  • Windows XP
  • Windows Vista
  • ventanas 7
  • ventanas 8
  • ventanas 10

la mayoría de las máquinas son vulnerables

  • máquinas pos
  • cajeros automáticos
  • metro
  • sistema de control de tráfico
  • bancos
  • servidores
  • hospitales
  • restaurantes
  • y muchos más

Este combo mortal empeoró la condición de la víctima y se convirtió en uno de los ransomware más eficientes del mundo.

t

ahora entrando en los detalles del wannacry: (fsecure)

Cuando se mira desde una perspectiva técnica, WCry (en sus dos componentes binarios) tiene las siguientes propiedades.

  • Compuesto por dos binaries.mssecsvc.exe de Windows: un gusano que maneja la propagación y suelta payload.tasksche.exe: un troyano de ransomware que el gusano deja caer.
  • Los binarios de Windows tenían algunas variantes, pero en número limitado y no se utilizó polimorfismo.
  • Se extiende sobre el puerto 445 de SMB utilizando una vulnerabilidad contra MS17-010 que estaba disponible públicamente en exploit-db [.] Com. Originalmente, el exploit se obtuvo de herramientas de la NSA filtradas por un grupo llamado “Shadow Brokers”. La vulnerabilidad MS17-010 estaba en todas las versiones de Windows hasta Windows Server 2016, por lo que este ataque afectó más que solo Windows XP. Pero XP / Server 2003 no tenía actualizaciones públicas disponibles antes del 14 de mayo.
  • Incluye la funcionalidad “kill switch” marcando www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com que los autores de WannaCry no habían registrado y, por lo tanto, podrían ser utilizados por @malwaretechblog, para detener su propagación. Se ha visto alguna “edición hexadecimal”. idiota “variantes de WCry; personas que modifican el malware original con un editor de archivos con la esperanza de deshabilitar el interruptor de interrupción o cambiar su funcionalidad.
  • Escanea la red local e Internet para detectar nuevos hosts para infectar.
  • A pesar de los primeros informes de distribución por correo electrónico, nadie ha podido confirmar ningún otro vector de infección que SMB.

Este brote de malware no debería haber podido suceder. Y el hecho de que el brote no fue aún peor es gracias a la diligencia de los administradores de TI de todas partes aplicando parches y manteniendo las configuraciones de firewall. Sin su trabajo, el brote habría sido mucho peor. Por ejemplo, una estimación baja para las computadoras infectadas por el gusano W32 / Blaster fue de 8 millones de computadoras y podría haber sido tan alta como 16 millones.

la hazaña detrás del deseo de llorar es eterna hazaña azul

EternalBlue explota una vulnerabilidad en la implementación de Microsoft del protocolo Server Message Block (SMB). A pesar de que la vulnerabilidad se resolvió mediante la actualización de seguridad (MS17-010) proporcionada por Microsoft el 14 de marzo de 2017, muchos usuarios de Windows todavía no habían instalado este parche de seguridad cuando, el 12 de mayo

¿A quién culpar por el ataque?

  1. corredores en la sombra para hacer realidad las herramientas en línea
  2. wikileaks por hacernos darnos cuenta de cuán vulnerables son los dispositivos en línea
  3. piratas informáticos para utilizar los ataques para difundir ransomware
  4. usuario para no parchear dispositivos con las actualizaciones

todos los medios dicen que los hackers están haciendo esto, retrocedamos en el tiempo y veamos qué pasó

7 de marzo:

wikileaks lanza las herramientas de cia

8 de abril: –

22 de abril :-

9 de mayo: –

Microsoft emite parches para otras cuatro vulnerabilidades de día cero

12 de mayo: –

Así que estas vulnerabilidades fueron identificadas por nsa y fueron utilizadas por piratear máquinas basadas en Windows y espiar a las personas Y, finalmente, wikileaks nombró las herramientas utilizadas por ellos y así en el grupo de ecuaciones para deshacerse de todas las herramientas y resistir a los piratas informáticos que usaron las herramientas para propagar ransomware

demo1 de doble pulsar exploit (smb):

demo-2 wannacrypt:

la prevención es mejor que curar, así que veamos la prevención de ataques como este en el futuro

  • Mantenga su sistema actualizado: en primer lugar, si está utilizando versiones compatibles pero anteriores del sistema operativo Windows, mantenga su sistema actualizado o simplemente actualice su sistema a Windows 10.
  • ¿Utilizando el sistema operativo Windows no compatible? Si está utilizando versiones de Windows no compatibles, como Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia lanzado por Microsoft hoy.
  • Habilitar firewall: habilite el firewall y, si ya está allí, modifique las configuraciones de su firewall para bloquear el acceso a los puertos SMB a través de la red o Internet. El protocolo funciona en los puertos TCP 137, 139 y 445, y en los puertos UDP 137 y 138.
  • Deshabilitar SMB: siga los pasos descritos por Microsoft para deshabilitar el Bloque de mensajes del servidor (SMB).
  • Mantenga actualizado su software antivirus: las definiciones de virus ya se han actualizado para proteger contra esta última amenaza.
  • Realice copias de seguridad con regularidad: para tener siempre un control estricto de todos sus archivos y documentos importantes, mantenga una buena rutina de copia de seguridad que haga sus copias en un dispositivo de almacenamiento externo que no siempre esté conectado a su PC.
  • Cuidado con la suplantación de identidad: siempre sospeche de los documentos no invitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente

Related Content

¿Cuál es la relación entre los compiladores y las máquinas de Turing universal?

¿Qué teclas de acceso directo se utilizan para minimizar y maximizar la ventana actual?

Cómo generar todos los números primos de un número dentro de un rango

¿Por qué los virus informáticos parecen una amenaza mucho menor que hace 10 años?

Cómo clonar una máquina virtual VMware en otra máquina virtual usando Clonezilla

Para fines elementales, el ransomware es lo mismo que un virus, son sinónimos. Eso hace que tu pregunta no tenga sentido. Probablemente, quieras entender cómo funciona un virus.

Virus es solo un programa destinado a ejecutarse en la computadora. Ingresa a la computadora como un archivo ejecutable y tal vez crea una entrada en el registro cuando se ejecuta por primera vez. Entonces, tiene privilegios de arranque de inicio. Ahora puede cargar el mismo software cuando inicia sesión en su PC.

El script adjunto al programa lo convierte en un virus. Puede ser un keylogger que envía sus registros de claves a alguien, o puede ser un gusano que simplemente se replica a sí mismo. Cualquier programa requiere autoridad para realizar cualquiera de estas tareas. Tiende a obtener esta autoridad cuando el usuario lo permite. Estoy seguro de que solo le da a cualquier administrador acceso al programa (o acceso raíz) sin verificar por qué lo necesitaría, porque todos lo hacen. Involuntariamente le dio el derecho de grabar las acciones de su teclado y mouse, guardar archivos y cargar su disco duro o algo similar.

Al llegar a los eventos recientes de WannaCry, es un ransomware que tiende a adjuntarse a diferentes archivos en su computadora y bloquea su acceso. Entonces, no le permitirá obtener acceso hasta que realice un pago de cierta cantidad ($ 300). Explota una vulnerabilidad del sistema operativo Windows y, por lo tanto, el archivo está bloqueado. En circunstancias normales, un programa no puede bloquear el acceso a un archivo.

Estos programas ingresan a su computadora utilizando un medio de almacenamiento externo o internet. La cantidad de descargas que ocurren cada minuto es bastante alta, y no sabemos cuántas de ellas son malware. Un antivirus es otro programa (generalmente utilizado en Windows) para verificar los privilegios que exige un script específico y marcar un mensaje si se solicita algún permiso sospechoso.

Considere un ejemplo de un editor de texto. No necesitará acceso a internet en el curso normal. Esto debe ser sospechoso. Si el antivirus está programado de manera que se marque un mensaje al respecto, lo hará. Algunos privilegios siempre son sospechosos, como el permiso para crear y eliminar archivos. Cualquier otra cosa que no sea un administrador de archivos no debería necesitar este acceso.

Para mantenerse a salvo, hay algunas prácticas para ayudar. Aunque no garantiza el 100% de seguridad contra virus, reduce las posibilidades de que su computadora se infecte.

  • Utilice distribuciones de Linux que se adapten a sus necesidades. El número de personas que usan Linux es significativamente menor y el núcleo es transparente. Eso reduce las posibilidades de que su computadora sea atacada.
  • Si debe usar Windows, asegúrese de tener un firewall activo. Además, mantenga activo Windows Defender. Mantenga actualizado su sistema operativo para asegurarse de que estén instalados los últimos módulos de seguridad.
  • Ten cuidado cuando estés en Internet. La mayoría de los hacks ocurren en línea.

Al final, hay una recomendación final. No se preocupe por los procesos de ataque (ni siquiera los he explicado aquí) e intente estar seguro. Trate de no entrar en detalles de todo y siga prácticas seguras. La vida es demasiado corta para saberlo todo …

Shankar Bhuvanesh

El ransomware es un software malicioso que bloquea ilegalmente el acceso a los datos hasta que se paga un rescate al ciberdelincuente. Muestra un mensaje solicitando el pago para desbloquear todos los archivos. Estos ataques ocurren a través de spam o sitios web falsos. Los correos electrónicos de phishing generalmente consisten en archivos adjuntos infectados o enlaces maliciosos. Una vez que la víctima abre el archivo adjunto o hace clic en el enlace, los documentos o datos se cifran. Para recuperarlos, la víctima termina pagando un monto de rescate al pirata informático.

Shankar Bhuvanesh

More Interesting

Cómo abordar los problemas en SPOJ (lea los detalles)

¿Cuál es la diferencia entre CS y SE?

¿Cuáles son los mejores casos de uso para aplicar inteligencia artificial a las ventas?

¿Aprendiste patrones de diseño, control de versiones, desarrollo de tecnología web, marcos ORM y marcos MVC en tu curso CS?

He desarrollado mucho interés orientado a la investigación en física cuántica y ciencias de la computación / ciencia computacional, pero estoy buscando un BE en CSE de alguna universidad baja. No lo he intentado para IISC / IIST / IIT. Ahora me arrepiento de mi decisión. ¿Puedo hacer algo de justicia con mis intereses en este momento?

¿Cuál es la unidad central de procesamiento de la mayoría de las computadoras modernas?

¿Por qué se considera a Babbage como el "padre de la computadora"?

¿Cuál es la importancia de la estructura de datos de la pila en la arquitectura de la computadora?

¿Cuál es el significado geométrico de las operaciones involucradas en el cálculo determinante?

MySQL ¿La normalización de una base de datos reduce su velocidad o la aumenta y puede normalizarse en exceso?

¿Puedes explicar el procesamiento del lenguaje natural a un laico?

¿Cómo funcionan los virus informáticos?

¿Cómo explico la gramática libre de contexto a los 5 años?

¿Realmente hay trabajos de BE CS o MBA en India?

¿Qué odias de tu trabajo en informática?