Diez euros y una palanca terminan con el ransomware WannaCry

mayo 13, 2017 ,

Parece ser que ya se ha terminado con el ransomware WannaCry o al menos se ha conseguido que este deje de infectar y para ello han sido necesarios diez euros y una palanca… y un poco de ingeniería.

Las mejores cosas de la vida suelen pasar por accidente o cuando menos te lo esperas y eso es aplicable a tantísimos campos, como el de la informática. Seguramente a estas alturas todos seréis expertos en ransomware y en el amigo WannaCry, el que puso en jaque a Telefónica, al Ibex35 y a medio mundo, ya que como sabemos afecto a la red de hospitales de Reino Unido. Hoy sabemos que hay casi un centener de países infectados, entre ellos Rusia, concretamente el Ministerio de Interior, pero dicen que Putin se ha enfrentado a él y ha ganado.

Bien, entre todos estos hay un héroe accidental como es MalwareTechBlog, quien en su cuenta de Twitter ha anunciado que ha encontrado lo que se conoce como ‘kill-switch’ o un modo de apagado de emergencia dentro del código ransomware y se han apoderado del mismo. Según se puede leer en The Guardian, este WannaCry cuenta con un trozo de código que conecta con un dominio muy concreto. Si este lograba conectar, por decirlo de alguna manera, el malware paraba a hibernar y por lo tanto, no atacaba.

ransomware

Pues bien, con diez euros y una palanca, MalwareTechBlog ha solventado el problema. Estos buenos samaritanos, viendo que el dominio no estaba registrado, han pagado diez euros y se han hecho con el dominio. Justo después de hacerse con este dominio, detectado una gran cantidad de peticiones por parte de los equipos infectados. Este las redirige a un servidor sinkhole, el cual está registrando los datos del ataque y mandándolos, según aseguran estos buenos samaritanos, al FBI. El ransomware detecta conexión y pasa a no infectar el equipo. Asi de simple.

EL ATAQUE RANSOMWARE BASADO EN WANNACRY QUE CASI PARALIZA EL MUNDO

La solución es más fácil de lo que cabría esperar y nos proporciona buena información sobre como este ataque está dando por saco a nivel global. MalwareTechBlog, aprovechando todas las conexiones, ha desarrollado un mapa en tiempo real que nos permite ver de manera instantánea el origen de las peticiones, mientras que el New York Times nos muestra el mapa, pero en diferido, para ver cómo ha corrido este bichito por la red de redes.

Malwarebytes y Talos Intelligence, de Cisco esta última, han confirmado que existe este ‘kill-switch’. Ahora bien, lo que importa es que el ataque parece ser que se ha detenido o al menos, congelado y que está permitiendo, esta solución, bloquear la infección a nuevos equipos. Darien Huss de la compañía de ciberseguridad Proofpoint, asi lo afirma y también Warren Mercer, que es responsable técnico en CISCO y de Talos Intelligence. Malwarebytes lo ha explicado asi:

El WinMain de este ejecutable primero se intenta conectar al sitio web http://ift.tt/2ptMfix. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.

Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro

La entrada Diez euros y una palanca terminan con el ransomware WannaCry aparece primero en HardwareSfera.

via Internet – HardwareSfera

Deja tu comentario

No hay comentarios

Suscribirse a: Enviar comentarios ( Atom )