Presentamos varias herramientas y consejos para combatir el ransomware WannaCry, así como información sobre cómo actúa este tipo de malware.
El ransomware está trayendo de cabeza tanto a grandes empresas, por el hecho de ver cómo sus datos son cifrados e irrecuperables en un principio, como a todo incauto usuario que pueda encontrarse con el mismo problema. Hasta la fecha, ha habido diversos tipos de este virus. Su forma de operar sigue el mismo patrón, aunque con diferentes niveles de cifrado y su correspondiente dificultad a la hora de hallar una solución factible. Para quienes no estén al tanto de cómo funciona el ransomware, decir que se trata de un tipo de virus que secuestra todos nuestros archivos, cifrándolos, haciéndolos inservibles y reclamando un importe por su rescate si no queremos perderlos.
Sonado ha sido el ciberataque que ha mantenido en jaque a más de 150 países, donde grandes multinacionales han tenido que apagar sus equipos y rezar por que la posible propagación haya sido lo menos destructiva posible y buscando la forma de recuperar los datos sin tener que abonar las cantidades pedidas. Estamos hablando del famoso (y temido) WannaCry.
Imaginad el daño que puede hacer a una empresa con todos los datos de facturación y contabilidad anuales cifrados… Fui testigo cuando un conocido me llamó pidiéndome ayuda, pues le había aparecido una ventanita en el escritorio diciendo que había sido infectado con Cryptolocker. A base de herramientas de eliminación del virus y alguna que otra de recuperación de datos, aparte del apoyo de copias de seguridad, conseguí recuperar gran parte de los archivos.
Hacker en acción
Herramientas y consejos
Aquí os traemos información sobre 4 herramientas que pueden ayudarnos con WannaCry, así como una serie de consejos generales que pueden ayudarnos a no ser infectados por este u otros tipos de virus.
360 NSA Cyber Weapons Defense Tool
Captura de 360 NSA Cyber Weapons Defense ToolEsta herramienta, desarrollada por 360 Total Security, viene dada por el hecho de que, pese a haber actualizaciones de seguridad para Windows, existen muchos usuarios que no las tienen instaladas. Gracias a este software, con o sin conexión, se nos realizará un análisis de sistema para determinar si estamos bien protegidos frente a ransomware o no, procediendo a parchear las vulnerabilidades encontradas.
Si 360 NSA Cyber Weapons Defense Tool encuentra alguna vulnerabilidad de las usadas por los distintos exploits de la NSA, no significa que estemos infectados, simplemente que tenemos un agujero para esa herramienta en concreto, las cuales tienen nombres variopintos como EternalBlue, EternalChampion o EternalRomance, entre otras. Una vez halladas dichas vulnerabilidades, la herramienta nos permitirá realizar un “Fix”, cerrando el puerto usado por SMB (Server Message Block, el protocolo para compartir archivos e impresoras). Así podremos evitar que se ejecute malware.
WanaKiwi
El investigador Adrien Guinet es el padre de Wannakey, el cual permite recuperar los datos secuestrados por WannaCry en Windows XP. Para que esto ocurra, el ordenador no tiene que haberse reiniciado tras la infección. También hay que tener en cuenta que en el proceso de cifrado, las claves privadas se guardan en memoria, no borrándose en ocasiones. Ahí entra la suerte del usuario, pudiendo recuperar los datos antes de ser relocalizados y borrados. Hay que tener en cuenta que se ha demostrado que fue Windows 7 el más afectado por este virus (más del 98% de los ataques), de ahí que se haya desarrollado la herramienta que veremos a continuación.
Según datos de Karpersky Labs, estas son las cifras de los sistemas Windows más afectados por WannaCry:
Gráfica de versiones Windows más afectadas por WannaCryBasándose en la anterior, Matt Suiche, experto en seguridad, ha desarrollado Wanakiwi. Con ella podremos recuperar los datos de los equipos infectados desde Windows XP a Windows 7, pasando por Windows 2003 y probablemente versiones de Windows 2008 Server, Vista o Server 2008 R2. El requisito, al igual que sucede con Wannakey, reside en que no se debe haber reiniciado o apagado el ordenador en el momento de la infección. Por este motivo, tanto esta como la anterior herramienta de recuperación no serán efectivas para aquellos primeros infectados, pero servirán si somos rápidos en aplicarla a partir de ahora en el caso de ser víctimas de este ransomware. Esperemos tener en breve acceso a alguna otra herramienta para descifrar datos con infecciones completadas al 100%.
Telefónica WannaCry File Restore
Chema Alonso en TheEvnt / Pedro Lozano editada con licencia CC 2.0Chema Alonso, el famoso hacker fichado por Telefónica como director de datos, ha difundido Telefónica WannaCry File Restore, una herramienta capaz de recuperar archivos afectados por el ransomware WannaCry. Este script puede intentar buscar y recuperar archivos siempre y cuando no haya finalizado el proceso de infección. De este modo, si hemos bloqueado el proceso de cifrado con algún antimalware o bien hemos apagado el ordenador al comenzar el proceso, es posible que encontremos y recuperemos nuestros datos. ElevenPaths, equipo del que forma parte Chema Alonso, sigue trabajando en una aplicación más efectiva, con el fin de obrar el milagro que más de un usuario sigue esperando.
Latch Antiransomware
ElevenPaths nos ofrece también Latch Antiransomware. Con ella podremos proteger nuestro equipo ante amenazas de ransomware, no sólo con WannaCry, no dejando que nuestros archivos sean infectados. En el video que podéis ver a continuación, disponéis de toda la información referente a instalación y configuración del programa paso a paso.
Otros consejos
Aparte de estas herramientas, para evitar posibles infecciones os recomendamos lo siguiente:
- Evita abrir archivos provenientes de mails desconocidos (SPAM). Si vienen de alguna entidad conocida, antes de abrirlos consulta con dicha entidad si realmente te han mandado un mail (mira bien la dirección del remitente). Ha habido casos de mails falsos de Correos con archivo de recibos; si esperas un paquete, mejor contacta con ellos…
- Evita páginas extrañas, de poca confianza y fiabilidad. Aun así, si te embarcas navegando en alguna de estas páginas, mira mucho dónde pulsas y qué pulsas, podrías lamentarlo…
- Protege tu equipo con un buen programa antivirus, antimalware, etc. Como hemos dicho anteriormente, existen virus que pueden asaltarnos sin haber pulsado alguna página o ejecutado algún archivo.
- Mantén tu equipo actualizado SIEMPRE. Las actualizaciones, y principalmente las de seguridad, son muy importantes.
- Haz copias de seguridad periódicas del contenido de tu PC. Evitarás disgustos.
Hay muchos peligros acechándonos en la red de redes, pero con un poco de sentido común y buena prevención, podemos salvarnos de la quema.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad