Toda la información sobre virus en OneWindows

13 mayo, 201713 mayo, 2017

WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

Hoy las noticias televisivas y de la comunidad jornalista de la red han saltado en alerta ante la novedad que ha comenzado a surgir con respecto a un ransonware, de nombre WannaCry, que ha afectado a varias multinacionales y compañías reconocidas en el mundo como Telefónica, BBVA, Vodafone, siendo la primera la más afectada. Todo esto ha ocurrido gracias a una vulnerabilidad que poseía Windows, que se conoce como EternalBlue y reconocida con el código de conocimiento de Microsoft MSE17-010, y que fue solucionado en el Patch Tuesday de marzo de este año. 70 paises tambien están siendo afectados por este ransonware.

WannaCry ha traído problemas a los usuarios y compañías que no han actualizado sus copias de Windows, ya que este secuestra archivos del sistema y datos personales de la víctima, siendo recuperables únicamente con un pago de rescate vía Bitcoin. Las dos variantes que se conocen del ransonware incluyen desde eliminar las credenciales y los accesos de administración al dispositivo atacado, hasta la que hemos descrito y ha sido la más dañina, la encriptación de la información, pero en realidad corresponden a procesos distintos de acción por parte del atacante.

¿Cómo funciona WannaCry?

Según explica la compañía de seguridad MalwareBytes en una publicación análisis del código fuente de WannaCry, el ransonware primero intentaba conectarse a un sitio web específico que ya no existe.

Esto fue probablemente algún tipo de kill switch o técnica anti-sandbox. Sea lo que sea, se ha salido en contra de los autores del gusano, ya que el dominio se ha suprimido y el host en cuestión ahora resuelve una dirección IP que aloja un sitio web.

Posterior a ello, hace diversas comprobaciones para instalar un servicio que permite preparar el escenario para el ataque y para mantener disponible el ambiente para más futuros ataques.

Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos pasados, se instala un servicio denominado mssecsvc2.0 con nombre de presentación Microsoft Security Center (2.0) Service (donde el binario se ejecuta con dos argumentos), inicia ese servicio, elimina el binario de ransomware localizado en los recursos del gusano, y lo ejecuta.

Si se ejecutó con dos argumentos o más, en otras palabras, si se ejecutó como un servicio de ejecución, eventualmente cae a través de la función de gusano.

El gusano posee dos núcleos principales que permiten infectar arquitecturas de PC de x86 como x64, ambos provenientes de un archivo con extensión .data. WannaCry utiliza una API de pseudocriptografía que genera numero aleatorios. Además de ello, existe una función del código que escanea el archivo HOSTS y roba la IP del dispositivo, además de las redes cercanas a las que este se encuentra conectado para seguir propagándose. Todo esto lo hace tratando de conectar al puerto 445.

Los hilos que exploran Internet generan una dirección IP aleatoria utilizando el generador de números pseudoaleatorios criptográficamente seguro del sistema operativo inicializado anteriormente, o un generador de números pseudoaleatorios más débil si el CSPRNG no se inicializa. Si la conexión al puerto 445 en esa dirección IP aleatoria tiene éxito, se analiza todo el rango /24 y si el puerto 445 está abierto, se realizan intentos de explotar. Esta vez, el tiempo de espera de explotación para cada IP no ocurre después de 10 minutos, sino después de una hora.

Finalmente entra en acción el módulo principal de la explotación llamada DoublePulsar, el cuál realizada todo el trabajo. MalwareBytes recomienda ejecutar este script que permitirá eliminar cualquier indicio de DoublePulsar de nuestro dispositivo, así la puerta trasera se cierra y no hay opción de que WannaCry se propague.

Una vulnerabilidad ya parcheada

El reporte MSE17-010 de Microsoft indica que la actualización de seguridad resuelve vulnerabilidades en Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1), cuestión que WannaCry utiliza en dispositivos que no han recibido la actualización mensual de marzo.

Windows Vista, Windows 7, Windows Server 2008 R2, Windows Server 2012 y 2012 R2, Windows 8.1, Windows RT 8.1, Windows 10 y Windows Server 2016 son las versiones del sistema operativo que están afectados. Microsoft ofrece una solución en caso de que no hayas instalado esta actualización:

Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.
En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.
Reinicia el sistema.

El inconveniente con las empresas radica en la falta de diligencia al actualizar las versiones de los sistemas operativos Windows utilizados para administrar la información. Telefónica ha sido la más afectada, con un 85% de los computadores de la compañía ya afectados.

El FBI puede estar detrás de los ataques

Aunque no se conoce el origen del gusano, se especula que esto proviene desde el FBI gracias a herramientas y prácticas utilizadas por el NSA en años anteriores para este tipo de ataques de vulnerabilidades. Rusia ha sido el país más afectado, donde se ha producido el 73% de infecciones por WannaCry según indica Kaspersky Labs.

Imagen tomada de HobbyConsolas

9 abril, 2016

Lucha contra germenes por el control total, en Biotix: Phage Genesis

Hoy os presentamos un juego que lleva ya un tiempo en la tienda pero que merece la pena comentar pues es muy entretenido, guarda cierta similitud con R.O.O.T.S, el cual ya os habíamos presentado anteriormente y donde se lucha con diferentes especies de plantas por el dominio de la galaxia. Este juego, Biotix: Phage Genesis, en cambio, se trata de una lucha contra los diferentes tipos de virus, por el dominio de las células.

Este juego desarrollado por Ten Percent Red, está disponible en Windows Phone y Windows 10 como aplicación universal, en él debes competir contra diferentes especies de virus colonizando células hasta contaminar todas las disponibles, exterminando totalmente al enemigo.

Es un juego simple, en donde debes tocar y arrastrar para así ir extendiendo tu colonia por las diferentes células, atacando a las infectadas hasta volver a colonizar un organismo por completo. A diferencia de R.O.O.T.S, en donde las plantas no se movían, en este las células infectadas pueden moverse de un lado al otro para poder formar complicadas estrategias.

Lucha contra germenes por el control total, en Biotix: Phage Genesis

Es una aplicación que cuenta con la opción de mejorar tus microorganismos, como velocidad, resistencia, ataque, y que se puede comprar con dinero ganado en las partidas. También cuenta con micropagos, con los que puedes comprar dinero para hacer las mejoras mas rápido y evitar el triste proceso de ir perdiendo contra especies mas fuertes hasta lograr lo necesario.

No es un juego de acción, y para algunos puede resultar tedioso, pero es una gran opción para aquellos jugadores a los que les guste la estrategia. Un juego simple que puede darte horas de diversión viral como atestiguan sus excelentes valoraciones. Puedes descargarlo de forma gratuita desde el siguiente enlace.

No olvides que si el juego ha sido de tu agrado, puedes comentar lo que opinas de el en los comentarios y en la tienda, para incentivar a estos desarrolladores por su esfuerzo.

¿Has bajado el juego? ¿Que te ha parecido?

3 agosto, 201513 agosto, 2015

Correo con estafa aprovecha la actualización de Windows 10 para engañar a usuarios

Ya han pasado unos días desde que Microsoft liberó la actualización a Windows 10 para todos aquellos que posean Windows 7/8.1. Esta actualización se realizó con una aplicación de por medio, «Obtenga Windows 10», en donde se verificaban entre otras cosas qué elementos podían dejar de funcionar en tu pc al actualizar, sea este por falta de controladores o por incompatibilidad con el hardware.

Y no es de sorprenderse que ya alguien haya utilizado todo este revuelo a nivel mundial para tomar provecho.
Luego de que Microsoft confirmara la posibilidad de que la actualización a nuestros ordenadores tardaran incluso semanas en llegar, nos aparece la información sobre un correo que se envía a los usuarios en el cual indican pasos para la supuesta instalación de Windows 10.

Este correo, que claramente no es de parte de Microsoft, indica que para la actualización se debe descargar e instalar en un archivo ejecutable que no es nada mas ni nada menos que un ransomware (software maligno para estafar a la gente), el cual luego de ejecutarse, encripta datos para luego pedir recompensa por la liberación de los mismos.

Os aclaramos que no existe ningún método de actualización por correo y que la misma se realiza a través de la aplicación anteriormente mencionada o la descarga de las ISO de Windows 10. Claramente el ingenio de los cibercriminales están atentos a estas oportunidades que se les dan, pero por suerte Cisco ha podido detectar este mail la cual indica que es enviado desde una IP proveniente de Tailandia.

No hace falta mencionar que si os llega este mail, debes de eliminarlo para así proteger tanto tus archivos, como el protegerse a si mismo de una estafa.

¿Has recibido este Correo?

Autor: Noah Román