epespad

Instale Wannacry Ransomware y te lo cuento

Bienvenido al Post...

DISCLAIMER


Antes de comenzar con el post, hacemos una aclaración IMPORTANTE, no nos hacemos responsables de los daños que puedas causar a tu propia computadora o pcs ajenas, tampoco de los daños a la información contenida en las mismas, esto después de haber leído este post( en el momento en que te empiece a llegar la creatividad y las ideas para perjudicar a los demás), el jugar con cualquier tipo malware es peligroso, y es más peligroso jugar con el malware utilizado para el ciberataque sucedido el pasado mes de mayo del presente año 2017.

El contenido del presente se hace con fines didácticos y educativos.

Por favor, lee el post con mucha atencion y cuidado

Una vez aclarados los puntos anteriores, comencemos con el post…

En el post se hará referencia a wanna cry con la abreviatura WC, es decir en el post:
wannacry=WC,
otras abreviaciones que se usaran:
windows=win, deepfreeze=DF, ransomware= RM.

El malware se instalo en una maquina virtual creada en el software virtualbox, esto para aislar el virus y evitar posibles daños a otras computadoras incluyendo la pc anfitrión sobre la cual se ejecutaba virtualbox.

El sistema operativo que se instaló en la máquina virtual fue windows 7 ultimate.



Primero comenzamos buscando el archivo ejecutable del malware en internet, se tuvo un resultado de la búsqueda como este:



Al ingresar a uno de los resultados de la búsqueda, se mostro este mensaje:



Como se ve en el mensaje, se menciona que este malware, es considerado como una ciber-arma, debido a los daños que causo el pasado mes de mayo.

También se encontró un texto, como el que se muestra a continuación:




En el texto se menciona que este archivo no debe descargarse, ya que el archivo del virus encripta los archivos del equipo donde se ejecuta, una definicion sencilla de encriptacion de archivos
archivos encriptados por ransomware=archivos dañados para siempre(no los volveras a ver nunca!!! ).

Después de buscar varios archivos y ejecutarlos, se hallo el archivo que ejecuto el virus correctamente.

Antes de ejecutar el malware, se instaló el software deepfreeze, esto para evitar dañar la maquina virtual y sus archivos, cabe destacar que antes de instalar DF se coloco una serie de archivos de distinto tipo en el HD(hard disk) de la máquina virtual, para efectuar la prueba.



El archivo del virus, tiene un peso de poco más de 3 megabytes:



Antes de ejecutar el ransomware, se desactivo la red de la maquina virtual, para evitar infecciones a equipos que estén en la misma red que la maquina virtual, esto es similar a poner un animal salvaje dentro de una jaula, para prevenir que cause daños(encerrarlo), se puede decir que estamos encerrando al malware y aislando su acción destructiva solo para la maquina virtual.




Comprobamos que efectivamente, la red esta desactivada, después del paso anterior (siempre hay que ser precavido):




Al ejecutar el archivo de WC, sucedió lo siguiente:




Dentro de la carpeta, donde se encontraba WC, se generaron los siguientes archivos:




Entonces se abrió el archivo @Please_Read_Me @.txt, el cual menciona que los archivos del equipo se han encriptado y que se tendrá que pagar un monto económico (en dinero Bitcoin), para poder desencriptarlos.




Se verifica el estado de los archivos del equipo:




Se observo que el virus, no encripta los archivos ejecutables, se deduce que no los encripta debido a que podría dañar windows y si win se daña, no se podría usar la pc y si no se puede usar la pc ya no habría manera de contactar con los malos(los creadores del malware) para realizar las operaciones para el supuesto rescate de los archivos.

Al tratar de abrir los archivos se obtiene:




Esto porque los archivos ya están cifrados, al cifrar los archivos el virus les coloca una extensión con el texto "WNCRY".

Una vez cifrados (encriptados) los archivos ya no pueden abrirse.

Al abrir con bloc de notas, uno de los archivos cifrados:




Como se puede ver WC, pone su marca al archivo.

Antes de ejecutar WC, se tomo una captura de los archivos antes de ser encriptados (cifrados):




Unos minutos después Se mostro la siguiente pantalla:




Y bueno, en la imagen de abajo se muestra una toma del monitor del equipo anfitrión, donde se ejecuta la maquina virtual infectada por WC, demostrando que nosotros hicimos la prueba con el malware.




Comenzamos a navegar por la interfaz del software WC:

Lo primero que se noto es que se puede elegir el idioma en el cual se mostraran los textos de este malware:




Esto indica que desde un inicio el objetivo del creador o creadores del malware, era un ataque a nivel mundial.

Por ejemplo, al elegir el idioma alemán (german), el texto cambio a ese idioma:




Se trató de desencriptar los archivos, dando clic sobre el botón "Decrypt"(desencriptar):




Después de dar clic sobre el botón "Decrypt"(desencriptar), se muestra una nueva ventana en la cual se dio clic sobre el botón "Start"(iniciar), enseguida de este clic se muestra un mensaje que dice que para desencriptar los archivos, se necesita realizar el pago.

Al dar clic sobre el botón "Check Payment" (verificar pago), se muestra lo siguiente:




Como se ve en la imagen anterior se menciona que el pago no se ha realizado, o no se ha confirmado el pago, también se menciona un horario para verificar si los archivos ya pueden desencriptarse (recuperarse) después de realizar el pago.

Ojo: No se debe/debió realizar ningún pago, hay que recordar que los creadores de este malware son estafadores.


Al verificar el escritorio del sistema (se minimiza la ventana de WC), se vio lo siguiente:




El virus cambia el fondo de pantalla, por un fondo que contiene un texto con las instrucciones para ejecutar la pantalla que da los pasos para la desencriptación de los archivos y la cual se mostro anteriormente.

Posibles medidas a tomar frente al ransomware


Uso de partición Linux

Antes de instalar el virus, se creó una partición de tipo ext4, esto para lo que se explicara a continuación:




La partición fue creada usando el software partition magic.

Previamente a la instalación del virus, también se instaló el software: ParagonExtFs que servirá para leer y escribir en la partición ext4, este software es comercial y se aprovecha 1 de los 10 días de prueba de la aplicación, para la realización del presente post.




En esa partición se coloco un conjunto de archivos:




Lo que se pretende demostrar es que el malware, no podría acceder a la partición ext4(tipo de partición usada en sistemas linux) mientras esta no esté montada, windows no puede leer ni escribir en particiones ext4, si se requiere escribir/leer en ext4 bajo windows, se requiere software adicional.

Se monto la partición creada, esta operacion con el software ParagonExtFS, el modo en que se monto la unidad fue solo lectura (read only), esto para verificar que los archivos colocados en esa partición están intactos después de la ejecución del malware y evitar que al montar la unidad el virus cifre los archivos.




Como se ve en la imagen siguiente, los archivos están intactos aun después de ejecutar el ransomware:




El virus no puede acceder a la partición debido a que win, no puede leer ni escribir en las particiones de tipo ext4, ext2, ext3, windows no puede escribir/leer en este tipo de particiones, a excepción que se cuente con software como ParagonExtFS o alguna aplicación similar.

Al montar la unidad con software especializado, se verifica que los archivos están intactos, se monta la partición en modo solo lectura, para evitar que el malware encripte los archivos.

Ahora montaremos la unidad en modo lectura/escritura(no solo lectura), y demostraremos como WC, cifra los archivos:

Primero se desmonta la unidad:




Después se monta la unidad en modo normal (modo lectura/escritura):




Después de montar la unidad con los parámetros anteriores, esto fue lo que paso:



Adiós a los mp3 y demás archivos…




Es por eso que usando este método, se debe montar y desmontar la unidad, cada vez que se escriba uno o varios archivos, es decir al guardar los archivos se debe montar la partición, y al terminar de guardar se debe desmontar la partición.

El método seria, montar la unidad ext4, copiar los archivos (archivos con los que se trabajaría en un día en particular), a la partición win desde la partición linux(ext4), y al terminar desmontar la unidad ext4 que es la que contiene la mayor parte de los archivos del usuario y comenzar el dia laboral.

Importante: Antes de hacer el paso anterior, debemos verificar si estamos infectados, por algún Ransomware.

Cuando un ransomware, ha infectado un equipo notifica de inmediato al usuario (ya que la gente que creó el virus, necesita rápido su pago xD), cuando el usuario nota esto debe evitar montar la partición ext4 y proceder a buscar algún método de desinfección (formateo, actualización de antivirus, cambio de antivirus, uso de software reboot and restore como deepfreeze etc).

Si en algún momento ocurriese algún tipo de infección por ransomware, este afectaría a los archivos que están solo en la partición win, la partición linux(ext4) quedaría intacta debido a que esta desmontada, y esto reduce el daño que puede ocasionar el RM, ya que el daño seria a los archivos que se copiaron a la partición de win y son solo unos cuantos.


Al terminar de trabajar con nuestros archivos, tendremos que montar la partición ext4, y guardar nuestros archivos, pero antes de eso tendremos que verificar que no estemos infectados.

Para el ejemplo se usó el software ParagonExtFS que es comercial( se aprovecha su versión trial), aunque puede sustituirse por opciones como Ext2FSD que es software libre, además de que en lugar de usar una partición ext4, pueden usarse también particiones ext2 y ext3.

Aunque no es un método que controle al 100% la infección, podemos decir que el daño a los archivos se reduce en un 90%.

Uso del software AntiransomV3

Primero se realizo la búsqueda en internet y se descargo el software:



Después se ejecuta como administrador el archivo: "setup.exe”:



Después de la ejecución del archivo exe, se muestra la pantalla de instalación de la aplicación:



Después de presiona el botón "Install"(instalar), y se muestra lo siguiente:



Se muestra un mensaje que menciona que la instalación puede tardar más de 5 minutos y se pide paciencia, después de dar clic al botón aceptar, la instalación comienza… paciencia modo encendido virus, esperemos un poco… al terminar la instalación se verá la siguiente ventana:



En la ventana se menciona que se ha terminado la instalación y también se menciona que no debe borrarse la carpeta de instalación.

Entonces al revisar el administrador de tareas, se encontró que ya se encuentran corriendo 2 procesos con nombres un tanto extraños, estos procesos son del software antiransomv3:



A continuación realizaremos la prueba, ejecutando Wannacry y viendo que es lo que sucede, recordemos que antiransomv3 se encuentra corriendo en el sistema:



Al ejecutarse y revisar los archivos…



Parece que no ha cifrado los archivos, pero aun así, antiransomv3 no ha dado ninguna alerta.

Revisamos el administrador de tareas y vemos que el proceso de WC, no está corriendo.




Una vez más ejecutaremos WC y veremos que sucede…



Al intentar buscar el ejecutable de WC, notamos que ha desaparecido!!!, al parecer AntiransomV3, lo ha eliminado.

Atención: Para que el software trabaje correctamente es importante, descargar la versión adecuada para nuestro sistema operativo, en la página de descargas de la aplicación, como se vio en la imagen que muestra la pagina de descargas, existen versiones de la aplicación para win 7, win 10 y win xp.


Realizamos una segunda prueba, para verificar si WC también es eliminado, en la prueba sucedió lo siguiente:

1: El proceso de WannaCry no se ejecutó en memoria, esto se verifico en el administrador de tareas.

2: Al parecer Antiransomware v3, daño el archivo exe de WC, porque ya no pudo ejecutarse, como se ve en las imágenes de abajo:



Uso del software MalwareBytes Antiransomware Free

Se descarga de internet de esta aplicación:



Se procede a realizar la instalación del software:



Si la instalación fue correcta, se mostrara la siguiente ventana:




Además en el tray del sistema se mostrara el icono:



Procedemos ahora a ejecutar WC, para ver qué es lo que sucede:



Obtenemos un mensaje de que se ha detectado un ransomware y el este archivo ha sido movido a cuarentena.

Cabe destacar que esta versión libre de malwarebytes Antiransomware fue lanzada en enero de 2016, esto antes del ciber ataque y aun siendo libre funciona para detener el accionar de WC.

Después de dar clic sobre el botón de "Close"(cerrar), se muestra lo siguiente:



El mensaje menciona que el Antiransomware ha removido un hilo de un proceso de ransomware y que se debe reiniciar el equipo, para completar el proceso de eliminación del malware.

Antes de reiniciar el equipo, revisamos el apartado de cuarentena del software y se mostro lo siguiente:



También se reviso la integridad de los archivos y estos no se cifraron:



Después se procedió al reinicio del sistema y el malware ya había sido eliminado.

Una recomendación importante a considerar, frente a ataques de ransomware es realizar un respaldo periódico(cada cierto tiempo), de nuestra información en un medio de almacenamiento externo(disco duro, memoria usb, cinta magnética etc), así, si por alguna razón la información se perdiese se tiene ese respaldo.

También es adecuado contar con todas las actualizaciones de seguridad de nuestro respectivo sistema operativo, así como tener un buen antivirus instalado y actualizado, además de algún software antiransomware.

El objetivo del post tiene fines educativos y didácticos(no destructivos), las ideas presentadas tienen como fin, que incrementes más tu conocimiento y abras un poco la mente, experimentando y aplicando el conocimiento es como se consigue aprender más y además se consigue experiencia.

__________________________________________________________
Bueno hasta aquí con este post déjenos sus comentarios...
Si te sirvió o gusto este post regálanos un like en nuestro facebook:


Puedes ver algunos de nuestros desarrollos como programadores en Nuestros Programas,
coméntanos, si te gusto el post regálanos un like, podemos ayudarte en cuestiones técnicas de programación y soluciones en TI Un Saludo a Todos, Gracias por su Atención.



Visita nuestros posts Anteriores:







=========>

Descargas Relacionadas al Post

Descarga AntiRansomV3

Descarga Malwarebytes AntiRansomware Beta FREE


https://youtu.be/WxFYbFaL95E

Comentarios Destacados

Callisto_ +13
pudiste recuperar tu hentai de lolis ?
userrsb +3
al parecer desaparecio

35 comentarios - Instale Wannacry Ransomware y te lo cuento

cortanaeco +1
gracias me gusto +10
userrsb +1
Gracias a ti por pasar
Sergiodaniel27 +1
buenisimo, un dia de estos lo descargo (con las precauciones claro) y me divierto con el codigo
Ruby_Rhod +7
y que se supone que harás? metertelos en el culo? hhahaha
userrsb +2
Es bastante didactico, haz tus pruebas con el malware y a seguir aprendiendo
Zero527 +1
preguntas:
que pasa si pones un archivo en archivos de programa?
userrsb
@Zero527 Quiza si se cambiara la extension a todos los archivos por la extension exe, pero antes de hacer eso, se tendria que anotar en algun lado la extension original del archivo, seria interesante programar algun tipo de herramienta que realice esta tarea...
Zero527
@userrsb o crear una api o algo, conserva su extensión pero le pones exe al final, si no la detecta es un exe
userrsb +1
@Zero527 Si como lo comentas seria mas sencillo..., saludos
comaofsouls2 +1
Digamos, suponiendo que los archivos ya están salvados y todo, si se instala encima un so y formateando se va el ransomware sin problemas, no?
userrsb
Es correcto, gracias por tu visita, amigo
Entiuno
buen trabajo
userrsb +1
Gracias por tu visita amigo...
_hiron_ +3
Prueba con ransom free

malwarebytes antiransomware
octapollo
@userrsb Joya, entonces me puedo quedar súper tranqui que elegí el anti ramsomware correcto. Muchas gracias, loco!
userrsb
userrsb
@_hiron_ Asi es, uno de los eslabones debiles en la seguridad de un sistema, son los usuarios, por eso es buenoque reciban capacitacion y que aprendan a que en la informatica hay que leer bien y a consciencia el mensaje(del sistema(s)), para decidir bien, cual sera el siguiente paso
el_deivi_2012
Muy bueno amigo.
userrsb
Gracias por tu visita Lince!
watka
Créditos totales a mercaderdecodigo
watka
fenx08 +1
Muy bueno, revisaste si encripta archivos que no esten en el disco D: o que sucede al conectarle un usb? (se que es riesgoso ya que tendrias que activar el puerto usb en la pc virtual asi que entiendo si no lo hiciste) esto para saber si tenia otro medio de propagacion aparte de ejecutarlo directamente
userrsb +1
Cuando se monto la unidad ext4 en modo lectura/escritura cifro los archivos, asi que deducimos que cuando el malware detecta una nueva unidad, este encripta los archivos, gracias por tu visita...
Langley_M +1
Buen post por fin algo interesante para leer en esta página
userrsb
Gracias
Soy_3D_Veo_2D
uff si tan solo pudieras utilizar el codigo fuente del bicho ese y crearas otro engendro..eso si seria inteligencia colectiva...el post en resumen es chitear al bicho arrinconandolo en un entorno aislado sin oxigeno ni posibilidades de exponer su potencial completo (conectarlo al servidor) y ya todo esta a favor y con ayudin de linux...aunque no deja de ser ilustrativo..mas arriesgado fue lo del pibe ingles que lo desactivo sin tanto bodrio y sin los ayudines...
userrsb +1
Excelente idea lo de intentar crear otro malware apartir de ese, para seguir aprendiendo...
JoseArcadio1
inteligencia colectiva, gracias señor +10
userrsb
Gracias a ti por la visita
RRDSA
Muy buen post en verdad pero me parece que también hay un programa ya para desencriptar.
userrsb
Asi es, gracias por pasar...
GianmarcoTv
Obvio que si formateas, se va todo al carajo incluyendo tu info, alguien sabe como mrd logras infectarte con rasomware?.
Una vez un pata me trajo una PC infectada, al final no pude hacer nada mas que formatear, el pata dijo que había entrado a sitios cp gore, pedo y tanta mierda humana.
userrsb +1
Al parecer al visitar sitios de internet como los que comentas, tambien por abrir mails de dudosa procedencia o sus archivos adjuntos, o infeccion mediante medios de almacenamiento externos, infeccion via red local por equipos infectados, esos son algunas de las maneras que conocemos en las que se puede ser infectado por ransomware
GianmarcoTv +1
@vxvoart pata significa amigo, compa, parce, un tipo que llevo conmigo el noveno grado de preparatoria. Terrible come mrd.
userrsb
elobelisk96
bien explicado papu, gracias por el post
userrsb
Muchas gracias...
yu11an
Amigo te dejé +10 por los experimentos, y de paso te lanzo una pregunta, si bien es cierto que para montar el ext4 se necesitan programas especiales; Qué pasaría si se tuviese un conectado a la red local con equipos infectados, un mini-servidor linux como NAS, con SMB habilitado para usar con losPCs Windows, también se afectarían los archivos en el servidor?
userrsb +1
@yu11anMicrosoft lanzo un parche para sus sistemas, que impide la propagacion de wannacryptor en un entorno de red, el parche es: Microsoft MS17-010, esto sirve para evitar la infeccion en un entorno de red, actualiza tu antivirus, uso algun antiransomware, instala antiransomv3 y estaras protegido, saludos
yu11an
@userrsb Buenísimo dato amigo, no lo sabía, sólo de los parches para sistemas puntuales, lo voy a tener muy en cuenta, gracias por la información
userrsb
@yu11an Gracias a ti, saludos...
66Darkdeath66
Wow! Que interesante post. +10 y gracias por tomarte las molestias de buscar ese RW
userrsb +1
Gracias a ti por pasar... Saludos
Rkool10
Buena Info! Me llevo el AntiRansomV3 +10
userrsb +1
Pon a punto tus defensas, un buen antivirus quiza windowsdefender, instala malwarebytes antiransomware para wannacry y otros ransomwares, y tambien instala el antiransomV3(no olvides descargar la version correcta, de acuerdo a tu version de windows, un saludo y gracias por pasar
Hrimpursar
Excelente informacion, en una pc hace por ahi de un año me toco toparme con uno en una lap pero no era Wannacry, era Locky y ya no supe que hacer mas que formatear todo, creo que Wannacry salio como una version mejorada de Locky, esta lap con locky al intentar restaurarla mostraba zero imagenes para retroceder a un tiempo antes de la infeccion y revisando lei que Locky se encargaba de eliminar las shadow volume copies asi que no podia hacer mas nada...instalare esa herramienta de malwarebytes para que este monitoreando, actualmente estoy usando Panda Free Antivirus, tiene alguna incompatibilidad estar ejecutando ambos al mismo tiempo? +10 por tu informacion, estuvo excelente.
userrsb +1
Gracias por tu visita, nosotros usamos windows defender junto com malwarebytes Antiransomware y las pcs funcionan bien, supongo que con el Panda Antivirus no deberia haber problema, saludos
Maty0312
Muy buen laburo
userrsb
Gracias, un saludo
pablosemper
Muy bueno, que lastima que no tenga vuelta atrás la encriptación que realiza.
userrsb
Al parecer ya hay alguna herramienta que desencripta los archivos con cierto porcentaje de exito, aunque no hemos indagado en el tema, gracias por pasar, un saludo
X_treme007
+10 pero era necesario tantas marcas de agua?
userrsb
En la vida habra gente que querra copiar tu trabajo, y decir que es suyo, xD quiza deberias intentar lo de las marcas
sirerikson
muy bueno , explicado a la perfeccion con sencillez , un gran trabajo saludos !
userrsb
Gracias por pasar
Kroll_AK47
Que buen postaso. Gracias por la Inteligencia colectiva, se estaba necesitando.
userrsb +1
Gracias Amigo
cuervoua
tendrías que haber probado desencriptar los archivos, saludos.
userrsb
Tienes razon, aunque el post hubiera crecido mucho mas
emdejesus
Excelente post, gracias! Muy explicativo y grafico
userrsb
Gracias a ti maquina, saludos!
fender18
Lindo post!
userrsb
Gracias por pasar!
manu2487
Hola. Una pregunta que puede parecer estúpida pero me quedó la duda cuando salió este asunto: ¿Si el dispositivo tiene su Windows actualizado (la versión que sea), aún se puede infectar? Digo por la vulnerabilidad de Windows que explotaba este ransomware.
Dancost
@userrsb Cuando yo lo usaba pasaba todo.Le pasaba el malwar. y me saltaban todos los virus que dejaba pasar el MSE
userrsb +1
@Dancost Si vuelves a usar el MSE, trata de mantener actualizado, ya que en ocasiones demora un poco en realizar la actualizacion de firmas de virus del dia..., un saludo lince
userrsb +1
@manu2487 Hola, mira hemos realizado algunas pruebas de wannacryptor vs microsoft security essentials, RansomFree y el ya visto malwarebytes antiransomware, miralo aqui: https://youtu.be/WxFYbFaL95E