Cómo protegerse del ransomware WannaCrypt y sus derivados

15/5/2017

El ransomware WannaCrypt comprometió numerosas compañías importantes y hospitales en tan sólo horasEn pocas horas este malware tomó por sorpresa al mundo y de repente todo diario o noticiero incorporaba un nuevo término a su vocabulario: Ransomware. El dudoso honor se lo lleva WannaCrypt (también conocido como WannaCry o WCry); tal es el nombre de esta amenaza que está causando pérdidas millonarias en todo el mundo en empresas del tamaño de Teléfonica o FedEx. También puso en riesgo la vida de cientos de pacientes en los hospitales cuyos sistemas se vieron afectados.

El ransomware es un tipo de malware que tiene como principal función cifrar (encriptar) todos los archivos de datos de la computadora en la que se ejecute, volviéndolos totalmente inaccesibles a todo aquél que no posea la llave de cifrado (un largo código alfanúmerico). Hecho esto, se anuncia con bombos y platillos en pantalla pidiendo un pago de dinero en concepto de rescate por este secuestro virtual de los documentos, fotos y demás archivos de la víctima.

Ante el ataque de un ransomware sólo existen 4 posibles salidas:

  1. Pagar el rescate para recuperar los archivos. Esto no se recomienda porque, al mismo tiempo que incentiva la proliferación de esta modalidad ciberdelictiva, no todos cumplen su promesa de restaurar los archivos secuestrados.
  2. Borrar todos los datos de la máquina infectada, reinstalar el sistema desde cero, y recuperar los datos desde el último backup disponible. Esta es la solución recomendada en caso de poseer backups recientes de la información secuestrada.
  3. Algunos ransomware realizan un cifrado débil que permite recuperar los datos mediante herramientas especialmente creadas para tal tarea, disponibles gratuitamente gracias a compañías proveedoras de antivirus y demás soluciones de seguridad. En el caso de WannaCrypt, existen al menos 3 herramientas disponibles, cada una con sus limitaciones. Una es WannaCry File Restorer, que sólo sirve para recuperaciones parciales, y solamente si el ransomware pudo ser detenido antes de finalizar el cifrado de la máquina. La otras dos son Wannakey y Wannakiwi, y ambas pueden llegar a realizar recuperaciones totales, pero no tienen éxito en todos los casos y sólo funcionan si el sistema nunca fue reiniciado desde la infección original. Importante: Es altamente probable que dichas herramientas no funcionen con los derivados posteriores que han ido apareciendo.
  4. Quienes no deseen o no puedan pagar el rescate, ni tampoco posean copias de seguridad de la información secuestrada o forma de recuperarla, no les queda más remedio que aceptar la pérdida y afrontar los costos que conlleve, y borrar complemente todo el sistema del equipo afectado para instalar el software a nuevo.

Lo más grave con WannaCrypt es que no se trata sólo de un simple ransomware. Utiliza herramientas previamente usadas por el servicio de inteligencia estadounidense para invadir equipos tanto en redes locales como a través de Internet. Para eso se apoya en una falla de seguridad existente en todas las versiones de Windows, para la que existe un parche, pero que debe ser aplicado.

El punto de entrada inicial en una Empresa suele ser a través de un email falso que engaña al usuario para que abra el adjunto o link que contiene. Y una vez que infecta el sistema, el ransomware intenta infectar toda la red local, incluidos los servidores de la Empresa, secuestrando al mismo tiempo los archivos de todo equipo que invade. En el caso de la versión original de WannaCrypt, investigaciones aseveran que la infección inicial se produjo a través de máquinas desactualizadas expuestas a Internet y no vía email, siendo Windows 7 la versión más afectada.

WannaCrypt es uno de los ransomware más peligrosos y dañinos por todas las técnicas de propagación que emplea.Como si esto fuese poco, instala en cada sistema un troyano que permite control remoto total del sistema a los criminales autores de este malware, y busca accesos de escritorio remoto para infectar nuevas PCs a través de esa vía. También actúa sobre cualquier pen drive o disco externo que se conecte a la máquina infectada, cifrando así todo tipo de copia de seguridad que se tenga en tales unidades removibles. A su vez deshabilita todos los mecanismos de recuperación del sistema de Windows y da un plazo corto de tiempo para pagar el rescate, luego del cual el precio aumenta, hasta que finalmente elimina cualquier posibilidad de recuperación al no registrar ningún pago por varios días.

Hay una buena noticia sin embargo, y es que de momento de logró deshabilitar WannaCrypt en la mayoría de los equipos infectados gracias a un kill-switch descubierto en su código. El problema es que nuevas versiones libres de este mecanismo de control están proliferando con cada día que pasa.

Cómo defenderse contra WannaCrypt (y el ransomware en general)

Como en la mayoría de los casos, la mejor estrategia es la prevención, y en Recursos y Sistemas sabemos cómo aplicar en su Negocio una serie de medidas altamente efectivas para repeler este ransomware y otros tipos de malware. Entre ellas destacamos:

  1. Actualización de todos los sistemas con los últimos parches que evitan la propagación por la red local a otras PCs de su Empresa.
  2. Medidas de protección adicionales para los sistemas que, por diversos motivos, no puedan ser parcheados.
  3. Políticas de seguridad en la red de su Negocio diseñadas específicamente para mitigar el ingreso de este tipo de amenazas.
  4. Sistema de backup automático resistente a ataques de ransomware. De manera que, en caso de que un equipo se vea comprometido, pueda recuperar sin problemas toda la información perdida desde la copia de seguridad más reciente.

En Recursos y Sistemas sabemos cómo fortalecer su infraestructura informática para que su Negocio siga creciendo y no sufra pérdidas económicas derivadas de estas amenazas cada vez más presentes.