Seguridad | sábado 20 de mayo de 2017 | 08:08hs
Más notas de Seguridad: |

Llorarás si secuestro tus archivos

Desencriptador para WannaCry

Estremece solo escuchar el nombre del malware de moda. ¿Y si me pasa a mi? Tomamos del blog de Quique Dutra un detallado análisis del origen de WannaCry y recomendaciones para protegerse y revertir la situación en algunos casos.

Wanacry-1
Wanacry-1
Documentos asociados

Introducción
Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paliativo que puede llegar a ser útil al momento de querer recuperar la información.

Antecedentes. Había una vez...
En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:

 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).

Si observamos, muchas de las vunerabilidades se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo en los boletines, sin embargo aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.

WannaCry (Quiero llorar literalmente)
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.
Su vector de infección fue un correo electrónico, que utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descarga el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la imagen de cabecera.

Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER). El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. 




Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).

Aún hoy siguen infectándose equipos con el WannaCrypt, quien quiera tener visibilidad de los casos que están ocurriendo en tiempo real, puede verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar el artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".

Y un día se hizo la luz
En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.


El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.
Les recordamos que puede ocurrir que no funcione en todos los casos.


Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos. 
10) No pagar rescate. 

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

Fuente: Quique Dutra - Seguridad de la Información

 

A DISTANCIA - CURSO EN TRES SESIONES

Desarrollo multiplataforma con ASP .NET CORE

jun

21

Curso teórico práctico de introducción en ASP .NET CORE. Veremos los conceptos clave del desarrollo multiplataforma con ASP .NET Core, la integración con Azure y deploy en Docker y finalizaremos implementando una aplicación real partiendo de un modelo de clases dado.
 

0 

A DISTANCIA - CURSO EN CINCO SESIONES

Curso Node Js + Mongo DB

jul

04

Curso teórico práctico orientado a aprender Node.js partiendo desde el armado del entorno de trabajo. Se repasará la programación en JavaScript con Visual Studio Code para luego entrar en el desarrollo web utilizando el framework Express accediendo a bases de datos MongoDB y MySQL. También se verán elementos de testing e integración continua.
 

A DISTANCIA - CURSO EN TRES SESIONES

Introducción a Power BI
El poder 
al alcance de tu mano

jul

12

Aprenderemos sobre las principales características de Power BI, veremos sus principales componentes y diferentes alternativas de uso, desde el Self-Service BI Personal, Self-Service BI de Equipos y Grupos pequeños, hasta Reporting Organizacional, para arquitecturas en la nube, on-premise e hibridas, incluiremos información sobre la nueva versión de licenciamiento "Power BI Premiun" y el servidor de reportes "Power BI Report Server".
 

WORKSHOP EN UNA SESIÓN

Arquitectura de Software Adaptativa

jul

27

Taller que pone foco en el diseño de arquitectura de software desde un punto de vista iterativo, con mayor involucramiento del cliente/negocio en las decisiones. La hipótesis de trabajo es que el esfuerzo de la labor de arquitectura debe estar repartido durante todo el ciclo de vida, la toma de decisiones de alto impacto debe ser oportuna y su re-evaluación permanente. Trabajaremos también el rol comunicacional y negociador del arquitecto.
 

Así es. ¿No lo cree?

Microsoft ama a Linux

Satya Nardella

¿.Net Open Source y .NET Framework en Linux y OSX? Ya no podemos decir que una noticia nos sorprende. Lo que ayer no era, hoy puede que sea, y mañana será. El giro de Microsoft en sus negocios continua generando novedades, sobre todo para los desarrolladores.

Codificando para todas las plataformas

Visual Studio Code

Visual Studio Code

Está disponible para descarga la versión última de Visual Studio Code. Por lo que se ve, la nueva herramienta de programación multimplataforma está cumpliendo con lo prometido hace unos meses.

 

Base de datos | SQL Server

Mejorando la performance usando columnas calculadas

20.08.2013 | Las columnas calculadas (Computed Column) son útiles para varias cosas. Sabemos que nos permiten tener una formula sobre ellas, pero muy pocos saben que a estos campos también se les pueden crear índices. Veamos cómo podemos mejorar la performance de algunas querys con el uso de estas columnas calculadas y sus índices.