Seguridad | sábado 20 de mayo de 2017 | 08:08hs
Más notas de Seguridad: |

Llorarás si secuestro tus archivos

Desencriptador para WannaCry

Estremece solo escuchar el nombre del malware de moda. ¿Y si me pasa a mi? Tomamos del blog de Quique Dutra un detallado análisis del origen de WannaCry y recomendaciones para protegerse y revertir la situación en algunos casos.

Wanacry-1
Wanacry-1
Documentos asociados

Introducción
Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paliativo que puede llegar a ser útil al momento de querer recuperar la información.

Antecedentes. Había una vez...
En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:

 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).

Si observamos, muchas de las vunerabilidades se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo en los boletines, sin embargo aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.

WannaCry (Quiero llorar literalmente)
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.
Su vector de infección fue un correo electrónico, que utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descarga el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la imagen de cabecera.

Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER). El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. 




Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).

Aún hoy siguen infectándose equipos con el WannaCrypt, quien quiera tener visibilidad de los casos que están ocurriendo en tiempo real, puede verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar el artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".

Y un día se hizo la luz
En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.


El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.
Les recordamos que puede ocurrir que no funcione en todos los casos.


Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos. 
10) No pagar rescate. 

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

Fuente: Quique Dutra - Seguridad de la Información

 

INTENSIVO. EN DOS JORNADAS.

Curso Fundamental de Seguridad para Programadores

ago

24

Curso intensivo en dos jornadas completas durante el cual recorreremos las principales vulnerabilidades de sitios web reconocidas por organizaciones independientes (OWASP, CWE/SANS, etc) y veremos la forma de codificar para prevenirlas y evitarlas. Se darán ejemplos de código, se realizarán demostraciones de ataque y defensa.
 

¡ GRATIS ! UN GRAN AFTER OFFICE PARA DESARROLLADORES

ASP .Net Core así en la web como en la Nube

ago

28

Tres charlas gratuitas que nos ofrecerán un recorrido por distintas arquitecturas e implementaciones de ASP .Net Core y por algunas funcionalidades de Azure. Imperdible para desarrolladores.
 

GRATIS. AFTER OFFICE.

¿Porque implementar UX?

ago

29

La experiencia de usuario es una disciplina que se expande día a día ayudando a mejorar nuestras aplicaciones. En esta charla abierta hablaremos sobre sus alcances y cual es la forma más sencilla de implementarla dentro del proceso de desarrollo.
 

NUEVA EDICIÓN DEL WORKSHOP. 
Arquitectura de Software Adaptativa

sep

04

Taller que pone foco en el diseño de arquitectura de software desde un punto de vista iterativo, con mayor involucramiento del cliente/negocio en las decisiones. La hipótesis de trabajo es que el esfuerzo de la labor de arquitectura debe estar repartido durante todo el ciclo de vida, la toma de decisiones de alto impacto debe ser oportuna y su re-evaluación permanente. Trabajamos también el rol comunicacional y negociador del arquitecto.
 

WORKSHOP

Creación de Chatbots

sep

08

Actualmente los bots conversacionales ofrecen múltiples ventajas sobre las aplicaciones de interfaz de usuario tradicionales (Escritorio, Web). En este workshop veremos como crear chatbots paso a paso utilizando Microsoft Bot Builder y Microsoft Bot Framework.
 

JORNADA DE ACTUALIZACIÓN

Actualiza tus conocimientos de SQL Server a su versión 2016 / 2017

sep

15

En esta jornada destinada a usuarios con nivel intermedio y avanzado veremos las importantes novedades que traen estas dos versiones de SQL Server tanto para los DBA, como desarrolladores y científicos de datos.
 

Así es. ¿No lo cree?

Microsoft ama a Linux

Satya Nardella

¿.Net Open Source y .NET Framework en Linux y OSX? Ya no podemos decir que una noticia nos sorprende. Lo que ayer no era, hoy puede que sea, y mañana será. El giro de Microsoft en sus negocios continua generando novedades, sobre todo para los desarrolladores.

Codificando para todas las plataformas

Visual Studio Code

Visual Studio Code

Está disponible para descarga la versión última de Visual Studio Code. Por lo que se ve, la nueva herramienta de programación multimplataforma está cumpliendo con lo prometido hace unos meses.

 

Base de datos | SQL Server

Mejorando la performance usando columnas calculadas

20.08.2013 | Las columnas calculadas (Computed Column) son útiles para varias cosas. Sabemos que nos permiten tener una formula sobre ellas, pero muy pocos saben que a estos campos también se les pueden crear índices. Veamos cómo podemos mejorar la performance de algunas querys con el uso de estas columnas calculadas y sus índices.