Durante una de esas infecciones, WannaCry infecto el honeypot en tan sólo tres minutos después de que se ha restablecido, mostrando la naturaleza agresiva del módulo de análisis del ransomware, que ayuda se extendió a nuevas víctimas.
Por otra parte, tres minutos es aproximadamente la misma cantidad de tiempo que la IO el malware infecta a router sin parches vulnerables conectados a Internet.
Con 223.000 infecciones el grupo de hackers ha hecho 31.000 dolares
Según los datos de seguimiento de la red de bots MalwareTech, el ransomware WannaCry ha realizado más de 223.000 víctimas desde que comenzó a extenderse el viernes 12 de mayo por la tarde.
Los investigadores han descubierto que los autores del ransomware han utilizado sólo tres direcciones Bitcoin para recibir pagos.
Hasta el momento de publicarse este articulos, estas tres carteras tienen Bitcoin 17.309, que es de alrededor de 31.600 $. En comparación con el número de infecciones, la banda WannaCry ha dejado de sacar provecho de su herramienta.
De acuerdo con Stefan Tanase, investigador de seguridad de Kaspersky Lab, una explicación para esto es que el ransomware era activo durante el fin de semana y que muchas empresas no han notado las infecciones, y los pagos se incrementará el lunes 15 de mayo, ya que se reanudarán las operaciones.
En una explicación muy simplista, el ransomware WannaCry se compone de dos partes principales: el ransomware en sí mismo que encripta archivos de los usuarios y el gusano SMB el componente que difunde el ransomware a las computadoras al azar que tienen un SMB expuesta puerto (puerto 445).
El gusano SMB es el código de la plataforma, sobre todo porque es una versión modificada del exploit ETERNALBLUE , una supuesta herramienta de hacking creado por la NSA, robado y filtrado en Internet por un grupo anónimo conocido como la shadow Brokers .
WannaCry es en realidad la versión 2.0 de una familia ransomware previamente denominado WCry
La versión 1.0 de este ransomware fue descubierto por el investigador Malwarebytes S! Ri el 10 de febrero y luego se vio en una breve campaña el 25 de marzo por GData investigador de seguridad Karsten Hahn. Era tan impresionante que había muy pocas menciones de su actividad antes de los ataques del 12 de mayo.
Antes del brote mundial, obviamente, alimentado por el módulo de gusano SMB, Trend Micro ha detectado una versión WCry 1.0 en una campaña de distribución el 25 de abril para esa campaña, la banda WannaCry había utilizado tácticas sencillas visto con muchas otras familias ransomware, tales como el correo electrónico de spam o malware cuentagotas.
Un investigador de seguridad que quiso permanecer en el anonimato describió las versiones anteriores como "proferir [censurado]." ¿Por qué las duras palabras? Probablemente porque el ransomware utiliza sólo tres direcciones Bitcoin en lugar de uno por usuario infectado. Como Lawrence Abrams de PC resaltado que pita el viernes que esto causará problemas cuando payng el rescate, como la banda WannaCry tendrá un tiempo difícil distinguir quien pagó el rescate y lo que las víctimas están haciendo afirmaciones falsas. Este suele ser el signo distintivo de un ransomware en-dev, creado por personas con poca experiencia en el campo.
Por desgracia, a pesar de estos operativos deslices, los investigadores todavía tienen que encontrar un defecto en el proceso de cifrado ransomware WannaCry para que puedan restaurar los archivos de las víctimas.
A pesar de algunos artículos en medios de comunicación que afirman que este es el trabajo de un actor de Estado-nación - o incluso WikiLeaks - todas las pistas apuntan al hecho de que un grupo poco sofisticado - activa en el escenario ransomware durante al menos tres meses - se había tropezado con ETERNALBLUE y fueron los primeros en encontrar una manera de convertir en armas la herramienta de hacking NSA para su funcionamiento con sombra.
Se esperan que otros grupos puedan poner en práctica el gusano SMB en su código en un futuro próximo, ya que es demasiado eficaz para ser ignorado.
La noche del 12 de mayo, un investigador de seguridad fue capaz de descubrir el llamado "interruptor de apagado " en el código fuente del ransomware. A juzgar por el apodo de MalwareTech, este investigador encontró que el ransomware hace un ping al iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com de dominio antes de iniciar el proceso de cifrado.
Si el dominio no se registró, el ransomware comenzaría su proceso de cifrado, si se ha registrado, no cifra los archivos. Para proteger a las víctimas, el investigador registró el dominio, evitando eficazmente WannaCry de hacer nuevas víctimas.
Desafortunadamente, algunas compañías de AV y los administradores de red mal entendido este proceso y empezaron a prohibir las peticiones a este dominio, y permitiendo indirectamente el ransomware continúe propagándose.
¿Como protegerse del malware Wana Decryptor
Por el momento, Wana Decryptor parece haber sido contenida. Este es el momento perfecto para usuarios y empresas que parchear los equipos vulnerables.
El gusano SMB del ransomware se aprovecha de una vulnerabilidad que Microsoft corrigió mediante el boletín de seguridad MS17-010
Debido a los ataques WannaCry eran tan extendidos, el sábado, Microsoft también lanzó parches adicionales para el SMB explotar con sistemas operativos antiguos que dejó de apoyar años antes, como Windows XP, Windows 8 y Windows Server 2003.
Además, el equipo CERT España ha lanzado una herramienta para los administradores
Del mismo modo, Cybereason ha actualizado su utilidad RansomFree
Otroas paginas que puedes visitar: