TheTechBoss

WannaCry

WannaCry

Última edición: 02/04/2018 - 20:37


Descripción de Wanna Cry

                Es un virus de tipo ransomware, esto es, bloquea el ordenador o sus ficheros a cambio de dinero. No es el primero, pero sí el más peligroso e importante hasta ahora debido al abuso que hace de una vulnerabilidad que existe en los PCs que usan el sistema operativo Windows sin las últimas actualizaciones de seguridad, vulnerabilidad que permite a este virus infectar los equipos sin necesidad de que los usuarios “piquen” en los medios y situaciones habituales, como puede ser un email, documento o cualquier archivo infectado. Es decir, este virus tiene vía libre de expandirse sin que los usuarios puedan hacer nada para evitarlo y ni siquiera necesita que los usuarios sean los que infecten el equipo.

                A pesar de que Microsoft ha lanzado un parche incluso en sistemas operativos que ya no tienen soporte oficial con antelación a la popularización de la gran brecha de seguridad que existe sin este parche, este virus se ha expandido muy rápido por todo el mundo dado que muchos usuarios y organizaciones optan por no mantener sus equipos actualizados (sin entrar en los motivos y consecuencias de esta práctica), afectando a muchos individuales, pero también a empresas, organizaciones públicas, etc. Debido al gran impacto y velocidad de expansión que ha tenido a nivel mundial y a los daños causados, hoy día es considerado uno de los virus más peligrosos.

                Por suerte, como ya he dicho, Microsoft ya ha sacado un parche para este problema de seguridad y los antivirus también están al tanto de la situación e intentan hacer todo lo posible por ofrecernos protección ante esta gran amenaza. No obstante, contando con que algunos equipos no se actualizarán, por el motivo que sea, es importante conocer qué podemos hacer para evitar una posible infección.

                Como siempre, el punto más débil en los sistemas informáticos normalmente se encuentra en los usuarios, es decir, las personas. Debido a esto, debemos estar informados y preparados para evitar que nuestros equipos sean infectados y evitar infectar otros equipos. Para ello, a continuación es pongo un protocolo de actuación general ante virus, así como un protocolo específico para este en concreto destinado a aquellos equipos que no cuentan con las últimas actualizaciones.
 

Protocolo de actuación general

  • No descargar ni abrir archivos o emails de origen desconocido
  • No conectar dispositivos a equipos infectados (USBs, smartphones, etc.)
  • No conectar un dispositivo infectado a un equipo sano sin la protección adecuada (actualizaciones de seguridad, antivirus, etc.)

                La verdad es no tengo mucho más que decir a nivel personal sobre virus en general; seguramente haya mucha información y guías sobre esto. Por tanto, paso a daros la información específica a este virus.

Protocolo Wanna Cry

                Para aquellos equipos que no cuenten con las últimas actualizaciones es importante desactivar una característica de Windows llamada SMB v1. Esta característica es la responsable del gran agujero de seguridad que tienen los equipos desactualizados y la que este virus ha aprovechado para infectar y expandirse. Esta característica se considera obsoleta y se recomienda su eliminación (en nuestro caso, desactivación) permanente.

                PRECAUCIÓN: dado que se va a desactivar una característica de Windows, es posible que algunos servicios dejen de funcionar. Probar bajo propia responsabilidad y en caso de encontrar algún problema revertir los cambios realizados. No obstante, esto no debería dar problemas al usuario normal y corriente, público objetivo de este artículo. Para sistemas operativos Server, consultar la bibliografía posteriormente expuesta.

                   NOTA: para realizar los procedimientos posteriormente mencionados se necesitarán permisos de administrador.


Windows 8 y posteriores

  • Abrir Windows PowerShell con permisos de administrador.
    • Una posible forma es buscar “PowerShell” y una vez que aparezca darle clic derecho y Ejecutar como administrador.
  • Ejecutar (escribir y pulsar intro) el siguiente comando:
    • Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Se nos solicitará confirmación y aceptamos.
  • Una vez hecho esto, ya podemos cerrar Windows PowerShell.
  • Ir a:
    • Panel de control\Programas\Activar o desactivar las características de Windows
      • En la ventana emergente, desmarcar la casilla correspondiente a “Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS”.
        • Aceptamos y reiniciamos el equipo.

 

Windows 7 y anteriores

  • Abrir Windows PowerShell con permisos de administrador.
    • Una posible forma es buscar “PowerShell” y una vez que aparezca darle clic derecho y Ejecutar como administrador.
  • Ejecutar (escribir y pulsar intro) el siguiente comando:
    • Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  • Abrir el Símbolo del sistema con permisos de administrador.
    • Una posible forma es buscar “cmd” y una vez que aparezca darle clic derecho y Ejecutar como administrador.
  • Ejecutar (escribir y pulsar intro) los siguientes comandos (uno por uno):
    • sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    • sc.exe config mrxsmb10 start= disabled


Conclusión

                Con estos pasos ya deberíamos tener SMB v1 completamente desactivado y, por tanto, ya no deberíamos ser vulnerables a este nuevo tipo de ataque. Sin embargo, seguimos siendo vulnerables a los métodos tradicionales anteriormente mencionados (archivos infectados, por ejemplo), por lo que no debemos bajar la guardia.

 
 

Bibliografía destacada

  • https://community.tenable.com/thread/11156

 
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis