ransomware-malware

Como Eliminar y Proteger tu PC de WannaCry Ransomware

Publicada el por Augusto Paredes

Saber cómo eliminar y proteger tu PC de WannaCry y ransomware en general es importante ahora más que nunca.

Los primeros avisos ya se han dado, el ataque ha sido mundial y ha costado muchos recuerdos e información vital a muchas personas y empresas.

 Si tu ordenador ha sido afectado espero que la solución en este articulo te pueda ayudar a recuperar tus archivos, si quieres saber cómo proteger tus archivos y tu PC de un ataque de ransomware como WannaCry, en este articulo te mostrare como hacerlo. 

Veamos primero un poco de historia acerca de este ransomware en particular y lo más importante, como proteger tu computadora de un ataque de malware y ransomware similar en el futuro.

Si te interesa un tema en particular puedes usar este índice temático para saltar a esa parte del artículo

Los dos programas mencionados en este articulo para proteger tu PC son:

  1. MalwareBytes Premium (protege contra malware y ransomware)
  2. McAfee Antivirus (protege contra virus)

¿Qué Significa RansomWare?

El nombre “ransomware” proviene de un par de palabras en inglés: “ransom” que significa rescate, y “ware’ extraído de “software” que significa programa.

Un ransomware es un programa creado con malas intenciones y con el propósito principal de restringir el acceso a tus archivos localizados en tu ordenador, por lo general en un ordenador Windows PC.

Se les llama “ransom” porque los creadores solicitan un pago para devolverte el acceso a tus archivos.

La manera más común de restringir el acceso a tus archivos es encodificando (o cifrando) los archivos usando una palabra o clave secreta y solicitando el pago de rescate para poder recibir esta palabra o clave secreta para descifrar tus archivos.

¿Cómo se Transmiten un Ransomware?

Por lo general, un ransomware pasa de un ordenador a otro como un troyano o también como un gusano.

Un ransomware se puede descargar inadvertidamente en algún archivo infectado enviado por correo, por ejemplo, o también puede estar usando alguna vulnerabilidad del sistema operativo (bien sabemos todos los muchos agujeros de seguridad que presenta Windows).

Una vez activo en el sistema solamente tiene que iniciar la codificación o encifrado de todos los archivos a los cuales tiene acceso.

Como punto final, te muestra la manera que el creador está buscando que deposites fondos, ya sea en criptomoneda o transferencia a su propia cuenta.

Ten mucho cuidado donde haces clic en la Internet o en tu propio correo.

Algunos de los archivos favoritos para transmitir un ransomware (o cualquier tipo de virus) son:

  • Cualquier archivo que este adjunto a un correo electrónico. Es la manera más fácil de infectar tu PC. El correo por lo general es de alguna persona conocida, la cual su PC ya está infectada y puede estar enviando correos con ransomware aun sin saberlo.
  • Mucho cuidado con los videos en páginas de dudosa reputación.
  • Programas o juegos gratuitos o hackeados también de dudosa procedencia (torrentes por ejemplo son una fuente de infección increíble, espero pronto escribir acerca de cómo descargar y probar los programas hackeados de manera segura).
  • No me ha pasado nunca, pero si he recibido correos de personas que han infectado su PC a través de Flash (haz clic si quieres saber mas acerca de Adobe Flesh Player).
Como Eliminar y Proteger tu PC de WannaCry Ransomware
Como Eliminar y Proteger tu PC de WannaCry Ransomware

WannaCry

WannaCry es el mayor ataque de ransomware de nuestros tiempos y ni pienses que ha terminado todavía.

Su primera propagación fue a 300,000 computadores en por lo menos 150 países diferentes.

Su salto a la fama ocurrió el 12 de mayo del 2017, cuando bloqueo el Servicio Nacional de Salud del Reino Unido junto con muchas otras instituciones importantes alrededor del mundo.

WannaCry demanda un pago de 300 dólares en moneda Bitcoin para enviar al usuario la clave que necesita para restaurar sus archivos encodificados.

El plazo para pagar es de solamente una semana, una vez expirado no habría solución alguna para recuperar ninguna información contenida en el ordenador. (quieres saber mas acerca de Bitcoin, clic aqui)

¿Como se Propago el Ransomware WannaCry?

Una vez comenzada la infección del ransomware WannaCry (o Wanna Cry), las compañías de seguridad digital se pusieron en alerta y comenzaron a rastrear e investigar los orígenes del poderoso ransomware.

Es muy posible que hayas visto en las noticias, YouTube o las redes sociales como Facebook o Twitter la infección en vivo de algunas terminales, quioscos y sistemas en el mundo entero.

Durante los primeros días los noticieros y publicaciones tecnológicas preguntaban acerca de WannaCry sin obtener muchas respuestas.

Las primeras noticias apuntaban a un tipo de spam malicioso, sin embargo, trampas en cuentas de correos electrónicos configuradas para atrapar el ya famoso ransomware WannaCry quedaron siempre vacías.

La creencia que WannaCry se distribuía por correo electrónico era un error fácil de cometer.

Cuando el brote de malware el viernes por la tarde se produjo, también comenzaba una nueva campaña de ransomware distribuida por correo electrónico y el popular botnet de Necurs.

Durante los primeros días, la infección causada por WannaCry también se asemejaba a la reciente campaña de infección por spam de la familia de ransomware de Jaff, por lo que pensar que WannaCry era una hija mas no sería muy fuera de la realidad.

Además de la asociación familiar, durante los primeros días en la aparición de WannaCry, existió un incremento de este tipo de programas maliciosos pidiendo rescate capturados en honeypots (trampas creadas para atrapar e investigar cualquier acceso no autorizado a un sistema de computadoras).

No fue hasta más tarde que equipos de investigación digital especializados en malware como Malwarebytes Threat Intelligence terminaron una revisión exhaustiva de toda la información recopilada y se pudo comprobar que las primeras noticias acerca de WannaCry estaban equivocadas.

De hecho, el ransomworm no se propago a través de una campaña de correo electrónico de spam, si no que se propago como gusano digital a través de una operación que busca la vulnerabilidad de los puertos públicos SMB y luego utiliza la explotación “EternalBlue” filtrada por la NSA para conectarse a la red y luego utiliza la también filtrada por NSA explotación “DoublePulsar” para establecer su presencia y permitir la instalación del ransomware WannaCry.

Veamos rápidamente la información capturada que respalda la afirmación anterior acerca del origen y propagación del ransomware WannaCry.

1. EternalBlue

EternalBlue es una explotación del protocolo SMB (Server Message Block o Bloque de Mensajes del Servidor) que afecta a varios sistemas operativos Windows de XP a Windows 7 y varios sabores de Windows Server 2003 y 2008.

El protocolo SMB se utiliza para compartir archivos e impresoras entre las computadoras pertenecientes a una red que usan el sistema operativo Windows.

La técnica de explotación se conoce como HeapSpraying y se utiliza para inyectar shellcode (serie de ordenes programadas en ensamblador) en sistemas vulnerables que permiten la explotación del sistema.

El código es capaz de dirigirse a máquinas vulnerables por dirección IP e intentar explotar a través del puerto 445 de SMB.

El código EternalBlue está estrechamente vinculado con la puerta trasera de DoublePulsar e incluso comprueba la existencia del malware durante la rutina de instalación.

La capacidad de este código para encontrar a otros posibles objetivos SMB permite la propagación del código malicioso a otros equipos vulnerables en las redes conectadas.

Esto es lo que hizo que el ransomware de WannaCry fuera tan peligroso. La capacidad de propagarse y auto propagarse causa una infección generalizada sin ninguna interacción del usuario.

2. DoublePulsar

DoublePulsar utiliza un APC (Asynchronous Procedure Call – Llamada de procedimiento asíncrono) para inyectar un DLL (Biblioteca de Enlace Dinámico) en el proceso de modo de usuario de lsass.exe.

Una vez inyectado, shellcode de explotación se instala para ayudar a mantener la persistencia en la máquina de destino.

Después de verificar una instalación correcta, el código de puerta trasera se puede quitar del sistema.

El propósito del malware de DoublePulsar es establecer una conexión que permita al atacante infiltrar información y/o instalar malware adicional (como WannaCry) al sistema.

Estas conexiones permiten a un atacante establecer una conexión de nivel Ring 0 a través de los protocolos SMB (puerto TCP 445) y o RDP (puerto TCP 3389).

¿Como Eliminar Wanna Cry de tu Ordenador Windows?

Existe una pequeña esperanza para algunas de las victimas del ransomware WannaCry.

Los especialistas en seguridad digital han encontrado una solución que elimina WannaCry y restaura los archivos de la computadora, aunque esta solución solo funciona en computadoras con sistemas:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows 7

Y solamente en ordenadores que no hayan sido reiniciados desde la infección del ransomware y además en ordenadores donde el proceso de infección de WannaCry (wnry.exe o wcry.exe) no hayan sido detenidos por el usuario o usuaria.

Si estas usando Windows 10 puedes intentar usar esta solución, es posible que funcione. Yo no he encontrado ninguna solución o programa para limpiar una Windows 10 específicamente después del ataque de WannaCry.

La solución se llama WanaKiwi (https://github.com/gentilkiwi/wanakiwi/releases) y le pertenece al investigador de seguridad digital Benjamin Delpy.

El programa escanea la memoria de una PC buscando números primos, por lo general estos son usados como base para el cifrado de los archivos.

Luego utiliza estos números primos para generar las claves de desbloqueo para los archivos codificados.

Es por eso que solo funciona en ordenadores que no han sido reiniciados sino la memoria estaría vacía de los números primos necesario para restablecer el uso de tu ordenador.

Esta herramienta muy ingeniosa se basa en WannaKey de Adrien Guinet, el cual la diseño para recuperar las claves de Windows XP.

Para utilizar WanaKiwi simplemente descargas el archivo dependiendo de cuál extractor piensas usar, el ZIP o 7Zip.

Descarga el programa de preferencia en un ordenador no infectado y luego transfieres el programa usando USB, así corres menos riesgo de borrar la memoria con nueva información.

Abre una ventana de comando (Start + CMD) y ejecutas el programa wanakiwi.exe.

WanaKiwi automáticamente identifica los procesos de WannaCrypt activos en la memoria (usualmente wnry.exe o wcry.exe), pero si no los encuentran entonces tendrás que hacer un poco más de investigación.

Abre tu aplicación de Task Manager (Administrador de Tareas), luego entra al Process Explorer (Explorador de Procesos) y encuentra el proceso a cargo del encifrado, debe ser muy obvio. Identifica el proceso por su identificación (Process Identification Number o PID) y escribes esta identificación luego de ejecutable wanakiwi.exe.

Con esta información el programa comienza a descifrar tus archivos automáticamente.

Luego de terminado el proceso es posible que todavía queden algunos archivos cifrados junto a los descifrados, sigue estos pasos para limpiar tu PC por completo.

  1. Descarga un programa para proteger tu ordenador que encuentre y proteja tu ordenador de WannaCry y otro ransomware como MalwareBytes. (AFF LINK). Una vez instalado ejecuta una exploración completa de tu PC para identificar cualquier archivo relacionado con WannaCry o cualquier otro ransomware. Esto te ayudara a remover por completo cualquier malware del sistema y evitar que se cifre nuevamente.
  2. Reinicia tu ordenador para terminar la limpieza.
  3. Encuentra todos tus archivos importantes que necesitas y no puedes perder y muévelos a algún tipo de copia de seguridad.
  4. Borra por completo tu disco y reinstala Windows (la mejor alternativa para comenzar desde cero y completamente limpio) o busca todos los archivos que acaban en .WNCRY y deshazte de ellos.
Es necesario proteger tu computadora de malware y ransomware como WannaCry
Es necesario proteger tu computadora de malware y ransomware como WannaCry

¿Porque Necesito Proteger mi PC de Wanna Cry y RansomWare?

Imagínate un escenario donde los archivos que más quieres, como por ejemplo las fotos de tu familia, el archivo del trabajo en el cual has estado trabajando por meses, un video del cumpleaños de tu mama o papa, fotos de tu aniversario de bodas, etc.

De pronto, sin ninguna advertencia un día cuando vas a abrir alguno de tus archivos recibes un mensaje como este:

“Los archivos de este equipo se han cifrado. Tienes 80 horas para enviar el pago, de lo contrario tus archivos serán destruidos permanentemente.”

¿Qué ha pasado? Has sido víctima de un malware conocido como ransomware. ¿Y si no tienes copias de seguridad o no has hecho una copia de seguridad en meses, entonces que puedes hacer?

Lamentablemente, cuando hablamos de ransomware, una vez que tus archivos están encriptados o cifrados, no hay mucho que puedas hacer, además de reducir tus pérdidas o pagar, lo cual nunca recomiendo ya que nunca he escuchado de ninguna experiencia donde el usuario o usuaria recupere sus archivos luego de pagar. Grandes empresas sí, pero usuarios de ordenadores personales no.

Un ataque de malware como este a cualquier empresa es aún mucho peor.

El reciente ataque de WanaCrypt0r fue el mayor ataque de ransomware en todo el mundo, bloqueando acceso a archivos importantes en hospitales por ejemplo (servicios hospitalarios tuvieron que parar en medio de procedimientos de emergencia) e interrumpiendo las operaciones diarias de muchas empresas en varios países del mundo.

Es por eso que es tan importante evitar que los ataques de ransomware ocurran en primer lugar.

Tipos de ransomware

El primer paso en la prevención de ransomware es reconocer los diferentes tipos de ransomware que existen, veamos cada uno rápidamente:

1. Scareware

Scareware incluye programas de seguridad deshonestos y estafas de soporte técnico.

Es muy común recibir un mensaje pop-up mientras navegamos por la web diciéndonos que nuestro ordenador está infectado de malware y la única manera de arreglar nuestra computadora es comprando un programa para desinfectar el malware.

Si no haces nada, seguramente recibirás una y otro pop-up hasta que puedas cerrar todos.

Este tipo de ransomware no causa ningún problema a nuestros archivos, todos se encuentran seguros, es simplemente un aviso con la finalidad de darte miedo y se aprovecha de personas que no conocen de este tipo de tácticas.

Si, tu ordenador se ha infectado con un programa que cada vez que navegas por la Web abre una de estas ventanas entonces será necesario limpiar tu sistema completamente para evitar esta pérdida de tiempo.

2. Congelador de Pantalla

Cuando el ransomware de la pantalla de bloqueo infecta tu computadora, significa que usted es congelado fuera de su PC enteramente.

Al iniciar su computadora, aparecerá una ventana de tamaño completo, a menudo acompañada por un sello oficial del FBI o del Departamento de Justicia de los Estados Unidos diciendo que se ha detectado actividad ilegal en su computadora y usted debe pagar una multa.

Para recuperar el control de su PC, una restauración completa del sistema podría estar en orden.

Si eso no funciona, puede intentar ejecutar una exploración desde un CD de arranque o una unidad USB.

El FBI no te congelaría fuera de tu computadora o exigiría pago por actividad ilegal.

Si sospechaban que eran piratería, pornografía infantil u otros ciberdelitos, iban a pasar por los canales legales apropiados.

3. Encriptación de Ransomware

Este si es el campeón entre todos los ransomware.

Aquí si infectan tu PC y cifran todos tus archivos demandando el pago de dinero digital para descifrar y devolverte el acceso a tus archivos.

Una vez completado el ataque ransomware a tus archivos no existe software de seguridad ni restauración del sistema que te pueda devolver tus archivos.

Dile adiós a las fotos familiares, los videos, tus programas, música, etc. Incluso si pagas el rescate no hay ninguna garantía que los cibercriminales te devuelvan esos archivos.

¿Como Proteger tu PC de Ransomware?

Todos los ataques de ransomware actuales indican que tener protección antes de que ocurra el ataque de ransomware o malware es la mejor solución. Una vez infectado, se termina el juego.

Prevención de Ransomware

El primer paso en la prevención de ransomware es invertir en una ciberseguridad efectiva, un programa con protección en tiempo real diseñado para frustrar ataques avanzados de malware como ransomware.

También debe buscar características que protejan a los programas vulnerables de amenazas (una tecnología anti-explotación), así como bloquear cualquier ransomware la opción de cifrar y retener tus archivos como rehenes.

Los clientes que usaban Malwarebytes 3 Premium, por ejemplo, estaban protegidos del ataque de WannaCry y de cualquier otro ransomware y malware.

Malwarebytes es el programa por excelencia en el que confían profesionales para cuidar su ordenador personal.

Es muy diferente de tener instalado un Antivirus. Yo por ejemplo uso McAfee Antivirus para proteger mi ordenador contra cualquier virus que quiera infectar mi PC, pero además también uso MalwareBytes Premium para proteger mi PC de cualquier ataque de malware y ransomware.

Ambos se complementan muy bien y ofrecen la mejor protección que puedo desear.

A continuación, necesitas crear copias de seguridad seguras de sus archivos cada cierto tiempo y de manera regular.

Puede comprar dispositivos USB o un disco duro externo donde pueda guardar archivos nuevos o actualizados.

Simplemente asegúrese de desconectar físicamente los dispositivos de su computadora después de realizar una copia de seguridad, de lo contrario pueden infectarse también con ransomware.

El almacenamiento en la nube es otra opción, pero recomendamos usar un servidor con cifrado de alto nivel y autenticación de múltiples factores.

Luego, asegúrese de que sus sistemas y software estén actualizados.

El brote de ransomware más reciente aprovechó una vulnerabilidad en el sistema operativo de Microsoft Windows.

Si bien la compañía había lanzado un parche para la falla de seguridad en marzo, muchas personas no instalaron la actualización, lo que los dejó abiertos al ataque.

Se recomienda cambiar la configuración para permitir la actualización automática del sistema operativo.

Conclusión

Por último, mantente informado.

Una de las maneras más comunes que las computadoras están infectadas con ransomware es a través de la ingeniería social.

Infórmese sobre cómo detectar campañas de suplantación de identidad, sitios web sospechosos y otras estafas.

Si piensas que tus fotos, videos, música y documentos son irremplazables, piensa hacer una pequeña inversión en la protección de tu ordenador instalando un programa para proteger contra malware y ransomware y otro para proteger contra cualquier virus.

A mí me paso hace ya mucho tiempo, perdí mucha información valiosa y hubiera dado lo que sea por recuperar mis archivos.

Si hubiera protegido mi ordenador no hubiera pasado por tan tremendo evento y además hubiera costado mucho menos en tiempo y dinero proteger mi PC que tener que recuperar o dar por perdido mis recuerdos.

 Este articulo no solo es beneficioso para aquellas personas ya infectadas con un ransomware, sino para saber el porque es necesario proteger nuestros datos y archivos importantes en nuestro ordenador. 

Si te gusto el articulo, por favor compartelo con tus amigos y amigas en tus redes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.