User Tools

Site Tools


windows:wannacrynotes

Wannacry en español

15/05/2017 15:32:55

Debido a que la llegada del virus Wannacry ha generado y está generando mucho ruido mediático, he decidido informarme y tomar algunas notas técnicas sobre el asunto.

Cuando empieza todo

[En algún momento en el pasado] Algún programador comete un error en la implementación del protocolo SMB. Ese error quedará latente en el código de windows hasta que alguien decida explotarlo….

[En algún momento en el pasado] Los hackers de la Agencia de Seguridad Americana (NSA) deciden coleccionar una serie de exploits de Windows para utilizarlos supongo que contra los malos: hackear sistemas informáticos del enemigo. El caso es que estos //exploits// acaban liberándose….

Primeras notificaciones de un virus de este tipo en Febrero 2017. Curiosamente, el Spanish CERT ya avisó entonces del problema.

En algún momento antes del 14 de Mayo de 2017: Microsoft libera un parche de seguridad llamado ms17-010, que como dice el propio parche resuelve un problema de seguridad que permite la ejecución remota de código a través de SMB.

La cosa tiene su miga, ya que todos los sistemas windows incorporan de serie un servidor de carpetas compartidas: es decir, una implementación del protocolo SMB, por lo que los clientes potenciales son muchísimos. También es verdad que las “carpetas compartidas” no se ponen públicamente en internet, por lo que el riesgo estaba contenido.

El primer exploit aparece el 14 de abril (al cabo de un mes de que Microsoft publicara el parche).

Qué hace wannacry

Parece ser que viene en dos partes. En la página malwareless explica cómo funciona.

La primera parte curiosamente, la han hecho los buenos: se trata de un programa hecho por la NSA Americana para explotar las vulnerabilidades de Windows. Este programa usa la vulnerabilidad del protocolo SMB para infectar el ordenador vulnerable. Éso es lo que le hace particularmente virulento a este software: no precisa descargar ningún adjunto, ni que el usuario ejecute o visualice ningún correo o mensaje, se ejecuta simplemente por estar en una red donde hay ordenadores infectados.

La segunda parte es un cifrador de ficheros, que es el que hace el verdadero mal: escanea todo el disco duro de la máquina infectada, cifra el contenido y lo deja con la extensión .wncry. A partir de ese punto, ya sólo queda pagar por intentar rescatar nuestros ficheros o tirar de backup.

Las extensiones de ficheros afectadas son de muchos tipos:

  • Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi)
  • Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • Emails and email databases (.eml, .msg, .ost, .pst, .edb)
  • Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd)
  • Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm)
  • Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
  • Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd)
  • Virtual machine files (.vmx, .vmdk, .vdi)

Microsoft ha dicho a la NSA que a ver en qué lado de la cancha juegan: https://www.forbes.com/sites/thomasbrewster/2017/05/14/microsoft-just-took-a-swipe-at-nsa-over-wannacry-ransomware-nightmare/#6e0039853585 (to take a swipe at somebody: lanzar un directo).

La cosa ha tenido tal difusión e impacto que Microsoft ha publicado un parche para los Windows XP, a pesar de que el soporte para estos sistemas está descontinuado desde hace tiempo.

Mis conclusiones

Ya nadie se acuerda del viernes 13: este virus se colocaba en el sector de arranque de los diskettes, y bastaba introducir un diskette infectado en el ordenador para que MS-DOS lo leyera y el ordenador quedara infectado. Y desde un ordenador infectado el virus se copiaba en cualquier diskette que metieras.

Aquella forma de reproducción era extraordinariamente eficiente; el único problema es que estábamos en 1991 y los ordenadores conectados en red eran muy pocos. Aún así, tuvo la suficiente notoriedad para que todos nos dieramos cuenta que la seguridad de los ordenadores compatibles era un tema a tener en cuenta.

Lo que tenemos con wannacry es una tormenta perfecta: la potencia de infección de Viernes 13, pero en un mundo completamente conectado de ahora. El resultado ya lo estamos viendo.

windows/wannacrynotes.txt · Last modified: 2017/05/15 17:02 by rlunaro