Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
mayo
(Total:
10
)
- El hacker que ayudó a capturar a Dámaso López trat...
- Los autores del ransomware WannaCry podrían ser de...
- WikiLeaks desvela más malware de la CIA: AfterMidn...
- Detienen la propagación del ransomware Wanna Cry r...
- Ataque masivo y global del ransomware Wanna Decryp...
- Phreaking: la historia del hacking telefónico
- Programador de Nissan copia código de Stack Overflow
- Yahoo recompensa con 7 mil $ investigador de segur...
- HackerOne niega el acceso de FlexiSpy a su program...
- Google Docs soluciona un sofisticado ataque de phi...
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Ataque masivo y global del ransomware Wanna Decrypt0r 2.0
viernes, 12 de mayo de 2017
|
Publicado por
el-brujo
|
Editar entrada
La alerta saltaba esta mañana en España cuando la empresa Telefónica, con sede central en Madrid, era víctima de un ransomware que obligaba a sus trabajadores a apagar los ordenadores de manera urgente. Horas más tarde, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado el mismo ataque ( al menos 16 hospitales del Reino Unido también han sido blanco) y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", una variante de Wanna Cry. España, Portugal, Reino Unido y Rusia, entre los afectados.
El pasado viernes 14 de abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue y DoublePulsar, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.
A diferencia de otros ransomware que utilizan principlamente ataques de phishing con suplantación de identidad para que el usuario se auto infecte, éste nuevo método, usa una vulnerabilidad para propagarse y expandirse.
Contramedidas urgentes:
Microsoft Windows - 'SrvOs2FeaToNt' SMB Remote Code Execution (MS17-010)
Parche reglas Yara
Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt
La aplicación Anti Ransom v3 es capaz de detectar y bloquear la infección.
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.
La imagen del comunicado tiene fecha del 13/03/2017
Imagen Wana Decrypt0r 2.0
Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet"
El ransomware cifra las extensiones de archivos:
@Please_Read_Me@.txt –
@WanaDecryptor@.exe.lnk –
Direcciones .onion C&C
Ransomware Overview, extensiones:
También se especula con que los autores del virus están cobrando en estas cuentas BitCoin los pagos:
Muestras, samples, etc
Mapas en Vivo de las infecciones
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
- Ransomware que aprovecha reciente vulnerabilidad de Windows para propagarse en forma de gusano
- WCry pide 0,1675 bitcoin para liberar los equipos, lo que al cambio son unos 300 dólares
- Más de 74 países y 57.000 ataques: el ransomware WannaCry se propaga a nivel mundial
El pasado viernes 14 de abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue y DoublePulsar, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.
A diferencia de otros ransomware que utilizan principlamente ataques de phishing con suplantación de identidad para que el usuario se auto infecte, éste nuevo método, usa una vulnerabilidad para propagarse y expandirse.
Contramedidas urgentes:
- 1. Bloqueo 138, 139 y 445 (tanto TCP como UDP)
- 2. Aplicación urgente del último nivel de parcheo (ms17-010)
- 3. Firmas AV e IDS
- 4. Protecciones genéricas contra ransomware
- 5. Mutex con nombre MsWinZonesCacheCounterMutexA
Microsoft Windows - 'SrvOs2FeaToNt' SMB Remote Code Execution (MS17-010)
Parche reglas Yara
WanaCrypt0r 2.0 ransomware "Wanna Cry" (WCry/WannaCry)
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB - Server Message Block (MS17-010), se distribuye al resto de máquinas Windows que haya en esa misma red.Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt
La aplicación Anti Ransom v3 es capaz de detectar y bloquear la infección.
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.
Microsoft publicó la vulnerabilidad el
día 14 de marzo en su boletín y hace unos días se hizo pública una
prueba de concepto que parece que ha sido el desencadenante de la
campaña.
WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llama "foto.jpg" pasaría a llamarse "foto.jpg.wcry". El ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, xx horas, xx minutos y xx segundos, así como que los archivos bloqueados serán borrados en x días, xx horas, xx minutos y xx segundos.
WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llama "foto.jpg" pasaría a llamarse "foto.jpg.wcry". El ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, xx horas, xx minutos y xx segundos, así como que los archivos bloqueados serán borrados en x días, xx horas, xx minutos y xx segundos.
Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:
Comunicado oficial de Teléfonica:
La imagen del comunicado tiene fecha del 13/03/2017
Red de hospitales de Inglaterra afectada también por el ciberataque informático de ransomware
El problema con la red de hospitales
inglesa parece ser similar al de Telefónica: los atacantes tomaron
control de los equipos y están pidiendo rescate en dinero. En el caso de
los hospitales, la situación es definitivamente más delicados cuando
tratamientos médicos (incluso de emergencia) se ven completamente
afectados, lo que podría traer nefastas consecuencias en pacientes
graves.
El Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado este ataque, y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", informa AFP.
El NHS ha confirmado que se encuentra trabajando en la resolución del
problema y que ofrecerá más detalles pronto. Asimismo, a través de la
página NHS Digital, ha indicado que no hay pruebas de que los atacantes
hayan tenido acceso a información de los pacientes, y ha añadido que “el
ataque no tenía como objetivo específico al NHS y está afectando a
organizaciones de diversos sectores". Se trata, ha confirmado el NHS, de
un ataque con “una variante de malware Wanna Decryptor”.
Análisis de Wanna Decrypt0r 2.0
Captura de Pantalla de Wanna Drecryptor 1.0
Imagen Wana Decrypt0r 2.0
Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet"
cmd.exe /c vssadmin delete shadows /all /quiet & wmic
shadowcopy delete & bcdedit /set {default} bootstatuspolicy
ignoreallfailures & bcdedit /set {default} recoveryenabled no &
wbadmin delete catalog -quiet
El ransomware cifra las extensiones de archivos:
Reglas para IDS:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)Idiomas soportados
Bulgarian, Chinese (simplified), Chinese (traditional),
Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French,
German, Greek, Indonesian, Italian, Japanese, Korean, Latvian,
Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish,
Swedish, Turkish, Vietnamese
- attrib +h .
- icacls . /grant Everyone:F /T /C /Q
- C:\Users\xxx\AppData\Local\Temp\taskdl.exe
- @WanaDecryptor@.exe fi
- 300921484251324.bat
- C:\Users\xxx\AppData\Local\Temp\taskdl.exe
- C:\Users\xxx\AppData\Local\Temp\taskdl.exe
Registry Keys:
- HKLM\SOFTWARE\WanaCrypt0r
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
: “” \tasksche.exe”” - HKLM\SOFTWARE\WanaCrypt0r\wd: “
” - HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
- HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control
Panel\Desktop\Wallpaper: “
\@WanaDecryptor@.bmp”
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
= “ \tasksche.exe” - HKLM\SOFTWARE\WanaCrypt0r\\wd = “
”
En cada carpeta crea:
Direcciones .onion C&C
- gx7ekbenv2riucmf.onion
- 57g7spgrzlojinas.onion
- Xxlvbrloxvriy2c5.onion
- 76jdd2ir2embyv47.onion
- cwwnhwhlz52maqm7.onion
- sqjolphimrr7jqw6.onion
Ransomware Overview, extensiones:
También se especula con que los autores del virus están cobrando en estas cuentas BitCoin los pagos:
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
- https://blockchain.info/es/address/1BANTZQqhs6HtMXSZyE2uzud5TJQMDEK3m
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Muestras, samples, etc
- Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for 'wannacry.exe'
- Joe Sandbox Cloud Pro - Analysis Report 268923
- Wanna Decryptor IOCs - Blueliv community
- Antivirus scan for b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 at 2017-05-12 15:09:52 UTC - VirusTotal
- Antivirus scan for ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa at 2017-05-12 15:02:41 UTC - VirusTotal
- https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/
- https://malwr.com/analysis/ODE0OTM1YWE0ZGFhNGQyZWEwZDNkYjFiZmFjOTU0ZTU/
- https://www.hybrid-analysis.com/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
Mapas en Vivo de las infecciones
- https://intel.malwaretech.com/WannaCrypt.html
- https://intel.malwaretech.com/botnet/wcrypt
- https://ransomwaretracker.abuse.ch/tracker/
- https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=0
Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
alerta
,
cn-cert
,
Crypt0l0cker
,
españa
,
europa
,
Malware
,
ransomware
,
rusia
,
smb
,
telefonica
,
virus
,
wannacry
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.