Ransomware WanaCrypt0r se propaga rápidamente

Ransomware WanaCrypt0r se propaga rápidamente

El ransomware WanaCrypt0r que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente, con más de 50 000 ataques registrados hasta este momento. Por: Jakub Kroustek

Lima, Perú, 13 de mayo del 2017.— Avast informó que el virus de tipo ransomware WanaCrypt0r infectó dispositivos del Servicio Nacional de Salud de Inglaterra (NHS) y de Telefónica.

En los últimos días, hemos observado un ataque a gran escala del ransomware WanaCrypt0r 2.0 (también conocido como WCry), con más de 57 000 casos detectados hasta ahora. Según los datos recolectados, el ciberataque está dirigido principalmente a Rusia, Ucrania y Taiwán, pero ha logrado infectar también instituciones muy importantes, como muchos hospitales en Inglaterra y la empresa de telecomunicaciones española Telefónica.

El siguiente mapa muestra los países más afectados por el WanaCrpytor 2.0:

ransonware-avast-itusers-1

La primera versión del virus WanaCrypt0r apareció en febrero, y ahora está disponible en 28 idiomas, desde el búlgaro hasta el vietnamita. Ayer, a las 8 a. m. de Europa Central (CET), notamos un incremento de la actividad de esta cepa, que se transformó rápidamente en un ataque masivo a partir de las 10 a.m.

El ransomware cambia la extensión del archivo afectado a “.WNCRY”, de modo que un archivo infectado se verá, por ejemplo, así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también están marcados con la cadena “WANACRY!” al comienzo del archivo.

El ransomware despliega el siguiente mensaje en un archivo de texto:

ransonware-avast-itusers-1a

El rescate exigido es de US$ 300 en bitcoins. El mensaje con instrucciones para pagar el rescate, una explicación de lo ocurrido y un temporizador regresivo se muestra en lo que los ciberdelincuentes responsables del ataque denominan “Wana Decrypt0r 2.0”:

Además, el fondo de pantalla de la víctima muestra la siguiente imagen:

ransonware-avast-itusers-2

Este ataque demuestra una vez más que el ransomware es un arma poderosa que se puede usar tanto contra consumidores como contra empresas. Se torna particularmente dañino cuando infecta instituciones como los hospitales, donde se pone en riesgo la vida de los pacientes.

Vector de infección: WanaCrypt0r 2.0

Lo más probable es que el WanaCrypt0r 2.0 se propague a tantas computadoras por una vulnerabilidad de Equation Group, un grupo sospechado de hacer el trabajo sucio de la Agencia Nacional de Seguridad (NSA) de los EE. UU.

Un grupo hacker llamado ShadowBrokers robó las herramientas de hackeo y las ha difundido públicamente. Según confirmó el investigador de seguridad, Kafeine, la vulnerabilidad, conocida como ETERNALBLUE o MS17-010, fue lo que probablemente usaron los ciberdelincuentes responsables del ataque WanaCrypt0r, y constituye una vulnerabiliad de Windows SMB (Server Message Block, un protocolo de red para el uso compartido de archivos).

Avast detecta todas las versiones nuevas de WanaCrypt0r 2.0, pero recomendamos encarecidamente que los usuarios actualicen los sistemas con los últimos parches disponibles. Continuaremos monitoreando este ataque y actualizaremos el blog cuando tengamos más novedades.

Mx|Prom|Outlet|1|468x60
Share