Alerta – Ataque masivo Ramsonware

Se está produciendo en el día de hoy un ataque masivo de ramsonware,  Telefónica ha apagado gran parte de sus equipos informáticos para evitar problemas pero no solo afecta a Telefónica o a grandes empresas, ni siquiera solo a España, también hay problemas en Rusia, Turquía, Reino Unido, Taiwan y la lista sigue subiendo tanto en países como en afectados.

El bicho se llama WanaCrypt0r y lo que es dicho es del tipo ramsonware.

Así que mucho cuidado con todo en general, especialmente con correos electrónicos que os lleguen.

Actualización 12/05 @ 23:07: Parece que el malware se aprovecha de un fallo de seguridad en Windows parcheado en marzo y que es capaz de infectar remotamente, es decir que no es que nos infectamos al abrir un archivo sino que el virus nos encuentra…

actualización 13/05 @11:42 : Se confirma que el malware se aprovecha de un fallo de seguridad de Windows parcheado, pero la cuestión es más divertida aún, ayer oí algún rumor pero hoy ya se ve en varios medios. Resulta que la “herramienta” fue robada a la NSA por un grupo de Hackers llamado ShadowBroker, que con ligeras modificaciones se ha convertido en la pequeña gran pesadilla de ayer.

De todas formas creo que lo peor es el caso del Reino Unido donde se ha visto afectado la NHS (que viene a ser la sanidad) por lo el gobierno se ha visto obligado a recomendar a los británicos que evitaran a acudir a la consulta del médico «salvo en el caso de urgencias». Además está el hecho que los malotes han establecido el plazo de una semana (normalmente suelen ser tres días) para pagar o amenazan con borrar los datos, es decir, que en una semana los británicos podrían perder todos sus datos médicos. 😯

Creo que habría que replantearse unas cuantas cosas, los ordenadores molan, pero que un problema en los ordenadores deje sin servicio algo como un hospital… es un problema muy serio.

Actualización 13/05 @ 19:48:  El monstruo tenía un punto débil y un investigador británico conocido como @MalwareTechBlog  ha dado con él. Por alguna razón que se me escapa (y creo que a varios millones de personas más) WanaCryptor incluye en su código una llamada a cierto dominio de internet y si consigue conectarse no infecta el equipo. Esto no es del todo extraño se usa para que el malote cargue información adicional y poder dar instrucciones a sus “huestes” una vez que ha comenzado la infección, pero en este caso el dominio estaba sin registrar.

Entonces ha bastado con registrar ese dominio y así no solo se ha impedido que WanaCryptor siga su marcha sino que además se ha conseguido un mapa de la infección monitorizando las llamadas al dominio.

No sé si se puede hablar de que se ha detenido por completo el ataque, si parece que al menos se ha ralentizados, lo que también es seguro que pronto saldrán variantes de este ramsonware donde esto no va a servir.

Actualización 15/05: Hoy lunes el virus se ha vuelto a poner en marcha, bueno mejor dicho el virus y sus 37 variantes, ha golpeado sobre todo a Asia donde el gobierno chino se ha declarado incapaz de contener la infección, y tiene su mérito teniendo en cuenta que fueron capaces de detener a Google y a Kim Jong-un al mismo tiempo  😯

Os dejo una entrada de Incibe

https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos

Latest posts by Mortanauta (see all)

4 Comentarios

  1. y….. ¿si uso linux? eso me afecta 😀 😀 😀

    He leído que solo afecta a windows des actualizados y que es un bug del protocolo SAMBA, pero no leo que afecte a Linux ni a MAC 😀 😀 😀

  2. No, el aroma doble mentolado de Linuxmint tiene el poder de alejar a este bicho 😛 pero fijate que cerca hemos estado de quedarnos sin Tuenti 😯

  3. No es por nada… pero Mortanauta nos prometió “novedades apocalípticas” tras el programa 666; y mira por dónde un WanaCrypt0r asola los discos duros de medio mundo… ¿Habrá salido este Ramsonware de las manos de nuestro nauta gnu/linux mintero? ¿Qué otras oscuras novedades nos deparará el 666? ¿Quizá la destrucción total del navegador Chrome para que reine por siempre jamás el Firefox de Mikel?

Deja un comentario