¿Cómo se produjo el ataque WannaCry Ransomware?

el último ataque cibernético se basa en ransomware. y el ataque está en dispositivos que se ejecutan en entornos Windows (XP, 7,8,10)

el ataque se llama ransomware:

El ransomware es un tipo de aplicación maliciosa que roba el control de la máquina o los datos del usuario y luego exige un pago por parte del usuario para restablecer el acceso normal al contenido o sistema rescatado.

en un contexto simple, el exploit se entregará a la víctima utilizando el

-Internet

-sobre lan

mensajes de correo electrónico

-freeware

-otras fuentes

después de que ingresen a la máquina víctima, el ransomware cifrará los archivos en el sistema y exigirá un rescate que estará en bitcoins. Si se paga el rescate, la víctima recibirá la clave para descifrar los archivos cifrados.

la hazaña detrás del deseo de llorar es eterna hazaña azul

EternalBlue explota una vulnerabilidad en la implementación de Microsoft del protocolo Server Message Block (SMB). A pesar de que la vulnerabilidad se resolvió mediante la actualización de seguridad (MS17-010) proporcionada por Microsoft el 14 de marzo de 2017, muchos usuarios de Windows todavía no habían instalado este parche de seguridad cuando, el 12 de mayo

Cómo mantenerse a salvo de este ataque: –

  • Mantenga su sistema actualizado: en primer lugar, si está utilizando versiones compatibles pero anteriores del sistema operativo Windows, mantenga su sistema actualizado o simplemente actualice su sistema a Windows 10.
  • ¿Utilizando el sistema operativo Windows no compatible? Si está utilizando versiones de Windows no compatibles, como Windows XP, Vista, Server 2003 o 2008, aplique el parche de emergencia lanzado por Microsoft hoy.
  • Habilitar firewall: habilite el firewall y, si ya está allí, modifique las configuraciones de su firewall para bloquear el acceso a los puertos SMB a través de la red o Internet. El protocolo funciona en los puertos TCP 137, 139 y 445, y en los puertos UDP 137 y 138.
  • Deshabilitar SMB: siga los pasos descritos por Microsoft para deshabilitar el Bloque de mensajes del servidor (SMB).
  • Mantenga actualizado su software antivirus: las definiciones de virus ya se han actualizado para proteger contra esta última amenaza.
  • Realice copias de seguridad con regularidad: para tener siempre un control estricto de todos sus archivos y documentos importantes, mantenga una buena rutina de copia de seguridad que haga sus copias en un dispositivo de almacenamiento externo que no siempre esté conectado a su PC.
  • Cuidado con la suplantación de identidad: siempre sospeche de los documentos no invitados enviados por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que verifique la fuente

fuente: The Hacker News – Seguridad cibernética, Hacking News, Wikipedia, http: //duckduckgo.com

Related Content

¿Cuáles son algunos de los beneficios de tener un keylogger instalado en su computadora personal?

¿Qué tan segura es la autenticación HTaccess?

¿Cómo puedo eliminar una página web maliciosa?

¿Cómo crear un virus?

¿Usar servicios como VeriSign aumenta la probabilidad de que el consumidor descargue su producto?

Utiliza el exploit Eternal Blue para propagarse, que fue lanzado por el grupo de hackers llamado The Shadow Brokers. Esta vulnerabilidad se encuentra en Windows XP SP3, Windows 7 y 8. La vulnerabilidad es la ejecución remota de código en el protocolo SMBv1 para compartir archivos.

Si el puerto 139 de su PC está ejecutando el servicio SMBv1. El programa externo / humano ejecuta códigos maliciosos de forma remota en su PC y suelta sus archivos. Los archivos descartados comenzarán a extenderse en su red local.

Ahora comenzará a encriptar todos sus archivos (doc, pdf, xls, jpg). Reemplazará el fondo de pantalla con el mensaje de rescate. Mantendrá la nota de rescate en el escritorio en el archivo de texto.

Y se acabó.

Para resumir todo el proceso, aquí hay una ilustración

Nilesh Akhade

Los informes iniciales indican que el pirata informático o el grupo de piratería detrás de la campaña WannaCry está obteniendo acceso a servidores empresariales a través del compromiso del Protocolo de escritorio remoto (RDP) o mediante la explotación de una vulnerabilidad crítica de Windows SMB. Microsoft lanzó una actualización de seguridad para la vulnerabilidad MS17-010 el 14 de marzo de 2017. Además, Microsoft lanzó parches para los sistemas operativos Windows XP, Windows 8 y Windows Server 2003 el 13 de mayo de 2017. Según las fuentes abiertas, un posible vector de infección es a través de correos electrónicos de phishing.

El ransomware WannaCry es un cargador que contiene una DLL cifrada con AES. Durante el tiempo de ejecución, el cargador escribe un archivo en el disco llamado “t.wry”. El malware luego utiliza una clave incrustada de 128 bits para descifrar este archivo. Esta DLL, que luego se carga en el proceso padre, es el verdadero Wanna Cry Ransomware responsable de encriptar los archivos del usuario. Usando este método de carga criptográfica, la DLL de WannaCry nunca se expone directamente en el disco y no es vulnerable a los análisis de software antivirus.

La nueva DLL cargada inmediatamente comienza a encriptar archivos en el sistema de la víctima y encripta los archivos del usuario con AES de 128 bits. Se genera una clave aleatoria para el cifrado de cada archivo.

El malware también intenta acceder a los recursos compartidos de IPC $ y los recursos SMB a los que tiene acceso el sistema víctima. Este acceso permite que el malware se propague lateralmente en una red comprometida. Sin embargo, el malware nunca intenta obtener una contraseña de la cuenta de la víctima para acceder al recurso compartido IPC $.

Este malware está diseñado para propagarse lateralmente en una red al obtener acceso no autorizado al recurso compartido IPC $ en recursos de red en la red en la que está operando.

Shankar Bhuvanesh

Casi cientos de países, incluida India, han sido golpeados por un ciberataque masivo que, según los expertos, se llevó a cabo con la ayuda de “armas cibernéticas” robadas de la Agencia de Seguridad Nacional de los EE. UU. El ciberataque se informó por primera vez desde Suecia, Gran Bretaña y Francia, informaron medios de comunicación estadounidenses. Los extorsionistas cibernéticos engañaron a las víctimas para que abrieran archivos adjuntos de malware malicioso a correos electrónicos no deseados que parecían contener facturas, ofertas de trabajo, advertencias de seguridad y otros archivos legítimos.

Se ha informado que un nuevo ransomware, ” Wannacry “, se está extendiendo ampliamente. Wannacry cifra los archivos en sistemas Windows infectados. Este ransomware se propaga al usar una vulnerabilidad en las implementaciones de Server Message Block (SMB) en los sistemas Windows. Este exploit se llama

Según “cyberswachhtakendra”, las extensiones de archivo a las que se dirige el malware ‘Wannacry’ contienen ciertos grupos de formatos como:

Extensiones de archivo de Office de uso común (.ppt, .doc, .docx, .xlsx, .sxi).

Formatos de oficina menos comunes y específicos de cada país (.sxw, .odt, .hwp).

Archivos, archivos multimedia (.zip, .rar, .tar, .bz2, .mp4, .mkv)

Correos electrónicos y bases de datos de correo electrónico (.eml, .msg, .ost, .pst, .edb).

Archivos de base de datos (.sql, .accdb, .mdb, .dbf, .odb, .myd).

Código fuente de los desarrolladores y archivos de proyecto (.php, .java, .cpp, .pas, .asm).

Archivos de diseñadores gráficos, artistas y fotógrafos (.vsd, .odg, .raw, .nef, .svg, .psd).

Claves de cifrado y certificados (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

Archivos de máquina virtual (.vmx, .vmdk, .vdi).

Después de infectar, este ransomware Wannacry ” muestra la siguiente pantalla en el sistema infectado:

El ransomware se está escribiendo en una carpeta de caracteres aleatorios en la carpeta ‘ProgramData’ con el nombre de archivo de “taskche.exe” o en la carpeta ‘C: \ Windows \’ con el nombre de archivo “mssecsvc.exe” y “taskche.exe “.

Ransomware está otorgando acceso completo a todos los archivos mediante el comando:

Icacls. / Conceder a todos: F / T / C / Q

Usando un script por lotes para operaciones:

176641494574290.bat

También suelta un archivo llamado! Please Read Me! .Txt que contiene el texto que explica lo que sucedió y cómo pagar el rescate.

Rza Aliev

Hola, es bastante simple y fácil para WannaCry Ransomware tomar el control de su computadora. Puedes aprender sobre WannaCry en este artículo: haz clic aquí.

Después de terminar el proceso de infiltración, el ransomware sigue los siguientes pasos:

  1. WannaCry se conecta con su servidor de Comando y Control para recibir datos de configuración y otra información sobre su computadora.
  2. WannaCry cambia la configuración de su computadora para que se ejecute automáticamente cada vez que se inicia Windows.
  3. WannaCry busca cierto tipo de datos y los cifra con su algoritmo de cifrado avanzado.

Debe mantenerse nítido, ya que los troyanos de cifrado pueden estar contenidos en una imagen, PDF, archivo de texto, archivo MP3. Hay muchas formas de infectar su PC con el ransomware WannaCry . Por ejemplo, puede infectar su computadora en varias fuentes de software no oficiales, sitios web de crack de software, sitios con alojamiento gratuito de archivos, sitios web con software gratuito y torrents. WannaCry Ransomware puede infiltrarse en su computadora a través de archivos adjuntos de correo electrónico infectados (tenga cuidado, ya que los ciberdelincuentes generalmente enmascaran sus correos electrónicos maliciosos de spam con archivos adjuntos en el correo electrónico de Ebay o en cualquier otro sitio web de confianza) y falsos actualizadores de software. Es por eso que se recomienda encarecidamente no abrir archivos adjuntos sospechosos de correos electrónicos no deseados y sitios web. Establezca una regla para no descargar ningún software de sitios web sospechosos con una gran cantidad de anuncios.

Ritul Mishra

Shadow Brokers, el grupo de piratería responsable de un vertedero de armas cibernéticas y exploits de software de la NSA, es la razón del ransomware WannaCry. Server Message Block (SMB) es el protocolo de transporte utilizado por las máquinas Windows para una amplia variedad de propósitos, como el intercambio de archivos , uso compartido de impresoras y acceso a servicios remotos de Windows. SMB opera a través de los puertos TCP 139 y 445. En abril de 2017, Shadow Brokers lanzó una vulnerabilidad SMB llamada “EternalBlue”, que era parte del boletín de seguridad de Microsoft MS17-010

El reciente ransomware WannaCry aprovecha esta vulnerabilidad para comprometer las máquinas con Windows, cargar malware y propagarse a otras máquinas en una red. WannaCry se vio afectado en una PC con Windows desactualizada con vulnerabilidad SMB y se extendió tan rápido.

Para obtener más información sobre Wanna Cry, Ransomware, Ransomware Evolution, etc. Archivos de infografías | Opsfolio es una referencia perfecta, que me gustaría sugerirle.

Nilesh Akhade

RansomWare como WannaCry funciona cifrando la mayoría o incluso todos los archivos en la computadora de un usuario. Luego, el software exige que se pague un rescate para descifrar los archivos. En el caso de WannaCry específicamente, el software exige que la víctima pague un rescate de $ 300 en bitcoins en el momento de la infección. Si el usuario no paga el rescate sin tres días, la cantidad se duplica a $ 600. Después de siete días sin pago, WannaCry eliminará todos los archivos cifrados y se perderán todos los datos.

La NSA explota “EternalBlue” que luego sería utilizado por el troyano WannaCry, y luego para mantenerlo en secreto para sus propios fines de recopilación de inteligencia. El agujero de seguridad fue hecho público por un grupo de hackers llamados Shadow Brokers que dieron a conocer al público los detalles de la hazaña.

Para obtener más información sobre ransomware, me gustaría sugerirle que se una a las comunidades relacionadas con la seguridad cibernética. Software de evaluación de riesgos y ciberseguridad compatible con HIPAA | Opsfolio Community es una de las mejores comunidades a las que solía referirme para temas relacionados con la seguridad cibernética.

Nilesh Akhade

En la actualidad, Ransomware es la infección de encriptación (o virus) más popular que afecta a los sistemas informáticos en todo el mundo con una tasa cada vez mayor. El ransomware en realidad no es un virus, sino un código programado de malware que no permite al usuario acceder a los archivos de datos de su computadora, ya sea cifrando los archivos o incluso bloqueando el sistema operativo.

Existen principalmente tres tipos de ransomware que se conocen actualmente:

Cifrado Ransomware

Locker Ransomware

MBR Ransomware

Ritul Mishra

En los últimos años, Ransomware ha sido una de las principales amenazas de ciberseguridad o extorsión cibernética para los usuarios de computadoras. El 12 de mayo de 2017, se informó que los ataques de Ransomware han infectado más de 230,000 computadoras en más de 150 países, incluido el Reino Unido. Este ciberataque mundial, llamado ataque WannaCry Ransomware, fue realizado por el gusano criptográfico WannaCry Ransomware.

Consulte este artículo para obtener información útil: proteja contra ataques de ransomware para guardar sus datos

Gracias.

Nilesh Akhade

¡Léalo con mucho cuidado!

¡Una respuesta a todas las preguntas!
¿Cómo piratean los hackers en 99 países al mismo tiempo? por Ritul Mishra en Mensajes

Rza Aliev

Aquí hay un resumen rápido sobre el ataque WannaCry para verificar si eres susceptible a un ataque.

Proteja su computadora del ataque WannaCry

Nilesh Akhade

http://cve.circl.lu/cve/CVE-2017

Nilesh Akhade

More Interesting

¿Qué es el cifrado de seguridad de la base de datos?

¿Qué tan bueno es FortiNet antivirus contra malware? ¿Qué tan eficiente es para el sistema operativo de la PC?

¿Cuál es un buen sitio que enumera los archivos del sistema Windows / Linux y proporciona descripciones?

¿Cuál es el servicio de respaldo de datos en línea más seguro?

¿Puedo llevar equipos de prueba de penetración a través de los aeropuertos?

¿Es seguro usar antivirus gratuitos?

¿Es la seguridad de la información / red una buena profesión para las damas?

¿Cuál es el mejor navegador de seguridad?

Virus informáticos: AVG me dio una advertencia sobre regsvr32.exe al instalar Foxit Reader utilizando un instalador CNET. ¿Debería Preocuparme?

¿Cuál es la estrategia para las pruebas de seguridad de aplicaciones web para la metodología de inicio de sesión?

¿Cuáles son los peores virus informáticos de todos los tiempos?

¿Qué sitios de entrada de Captcha son confiables?

¿Cuál es el mejor antivirus para teléfonos Android?

¿Cuál es el mejor software antivirus para un iPad 4?

Si mi sistema se ejecuta en Ubuntu (o el sistema operativo Linux en general), ¿mi sistema puede estar infectado por virus con un sistema operativo Windows en Virtual Box?