DESENCRIPTADOR PARA WANNACRY

Publicado el 23-05-2017
Artículo escrito en el blog seguridadit.blogspot.com.ar por el analista de sistemas Enrique dutra matrícula 2642 integrante del equipo de ESAPI del CPCIPC

Desencriptador para WannaCry

Introducción

Cómo dice un viejo dicho "... Una de cal otra de arena..." para utilizar una metáfora, por la aparición del WannaCry y ahora la publicación de un desencriptador, que si bien no es mágico y aplica el 100% de las veces, es un paleativo que puede llegar a ser útil al momento de querer recuperar la información.


Había una vez...

En principio el código de WannaCry se basa en "EternalBlue", un exploit usado por la NSA que fue expuesto al mundo por el grupo Shadow Brokers. Este grupo posee un set de herramientas que puede poner en riesgo a los procesos de negocios de varias organizaciones. Del set publicado por  Shadow Brokers, tenemos un conjunto de herramientas que aprovechan algunas vulnerabilidades como:


 - CVE-2008-4250 (exploit que es denominado “EclipsedWing”, Microsoft lo mitiga con un parche del año 2008, boletín MS08-67).
- CVE-2009-2526, CVE-2009-2532, y CVE-2009-3103 ( exploit “EducatedScholar”, mitigado por Microsoft con el boletín MS09-050 del año 2009).
- CVE-2010-2729 (el código malicioso “EmeraldThread”, resuelta su vulnerabilidad en el año 2010, con el boletín MS10-061).
- CVE-2014-6324 (el exploit “EskimoRoll”, mitigado con el boletín MS14-068 del año 2014).
- CVE-2017-7269 (un fallo sin resolver del IIS 6.0).
- CVE-2017-0146 y CVE-2017-0147 (exploit “EternalChampion”, mitigado en marzo de este año con el boletín MS17-010).
 

Si observamos, hay muchos de los boletines que se resuelven aplicando actualizaciones que han sido publicados por Microsoft hace un tiempo y aún hoy en muchas organizaciones puede explotarse por que no han sido implementados.


WannaCry
El día viernes 12 de mayo de 2017 pasará a la historia como la Pandemia que extorsionó al mundo.  Este Ransomware atacó a mas de 90.000 ordenadores distribuído en mas de 99 países en el mundo.

Su vector de infección fue un correo electrónico, utilizando la técnica de SPAM y PHISHING engaña al usuario para que visite un sitio Web, mediante un enlace de descarga del dropper (el que descargar el payload).  El archivo adjunto (dropper) infecta el equipo con el WannaCry, incluso provocando en muchos casos un BlueScreen de la muerte en los S.O Ms Windows, como vemos en la siguiente imagen:

 

 

Una vez infectado el equipo, comienza a cifrar los archivos como intento de propagación como lo hacían los virus tradicionales (el último que generó semejante impacto en un volumen importantes de equipos en el mundo, fue el CONFICKER).

 

El usuario observará pantallas en donde se le solicitará el pago del rescate del acceso a los archivos que fueron cifrados en su equipo. Pantallas similares a las siguientes:

 

 

 

Si bien muchas compañías a partir del día viernes del caos general, empezaron a parchar sus S.O, les recordamos que el parche evitará que se contagie de WannaCry desde otro equipo, pero si el usuario visita el sitio web donde está el dropper, se bajará el Ransomware y se infectará (deberá tomar otras medidas además del parche de Microsoft).

Aún hoy siguen infectándose equipos con el WannaCrypt, si quiere tener visibilidad de los casos que están ocurriendo en tiempo real, pueden verlo en este mapa https://intel.malwaretech.com/WannaCrypt.html

 

La propagación se realiza por los puertos 139 y 445, utilizando el SMBv1. Microsoft resuelve esta vulnerabilidad con el parche publicado en marzo/2017, pero si se complica desplegar el parche en el parque de máquinas de la red, lo que se puede hacer es desactivar el SMBv1 mediante una GPO de Active Directory y esto se aplicaría inmediatamente en toda la red. Para ver como se implementa esta GPO o Política de AD, les recomiendo revisar este artículo titulado "How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server".


Y un día se hizo la luz

En estos días se ha publicado una herramienta que permite recuperar los archivos sin tener que pagar el rescate. Una de las recomendaciones que se hace es que no se reinicie el equipo, ya que obtiene información de memoria al momento de su ejecución. Esto ocurre por que no borra los números primos de la memoria antes de liberar el uso de memoria.

El desencriptador podrán ubicarlo en esta URL https://github.com/gentilkiwi/wanakiwi/releases.

Les recordamos que puede ocurrir que no funcione en todos los casos.

Recomendaciones
Para finalizar, las constantes recomendaciones que venimos haciendo hace más de un año, nuestras 10 máximas:

1) Backup!!!!
2) Plataformas actualizadas, sin importar el S.O.
3) Aplicar una solución antimalware siempre actualizada en los dispositivos y equipos.
4) Capacitar a los usuarios sobre las amenazas.
5) Contar o ajustar soluciones antispam.
6) Filtrados Web con antivirus.
7) Contraseñas fuertes o complejas.
8) Mantenerse informados.
9) Ser desconfiados en terceros o desconocidos. 
10) No pagar rescate. 

Nuestras fuentes nos reportan que pueden surgir nuevas amenazas con igual o mayor impacto a la brevedad, por lo cual, esto requiere no relajarse y ser PROACTIVOS.

====================================== NOTA ===================================
Estos días leyendo algunos diarios, escuchando opiniones y otros informáticos que opinan sobre los intrusos, he observado el mal uso de unos términos que me llevan ha realizar la siguiente aclaración.
NO es lo mismo un Hacker que un Cybercriminal o Cyberdelincuente

HACKER: Unas definiciones que me gusta por que uno se siente identificado en algunas facetas, y voy a re-publicar y mencionar son:
1. Una persona que disfruta explorando los detalles de los sistemas programables y cómo estirar sus capacidades, a diferencia de la mayoría de los usuarios, que prefieren aprender sólo el mínimo necesario. RFC1392, los Glosario de los internautas , amplifica de manera útil como esta: Una persona que se complace en tener un profundo conocimiento del funcionamiento interno de un sistema, ordenadores y redes informáticas, en particular.
2. Aquel que con entusiasmo programas (incluso obsesivamente) o que disfruta de la programación en lugar de teorizar acerca de la programación.
3. Una persona capaz de apreciar el valor truco .
4. Una persona que es bueno en la programación rápidamente.
5. Un experto en un programa en particular, o uno que hace con frecuencia el trabajo de usarlo o sobre él.
6. Un experto o un entusiasta de cualquier tipo. Uno podría ser un hacker de la astronomía, por ejemplo.
7. Uno que disfruta el reto intelectual de superar creativamente o eludir limitaciones.

8. Entre otras 

FUENTE: The Jargon File, Eric´s Home Page.

CYBERDELINCUENTE: es un individuo que se aprovecha de las vulnerabilidades de las redes y sistemas de información para llevar a cabo actos tipificados por ley como criminales: robo de información, destrucción de información, extorsión, divulgación de información confidencial, distribución de pornografía infantil, envío de correo basura, terrorismo, extorsión, fraudes, robo de identidad, falsificación de información, piratería, etc. 

FUENTE del artículo original: Blog de SeguridadIT
Hasta la próxima.