epespad

El virus que afectó al mundo hoy ¿qué es?

El gusano que se extiende WanaCrypt0r

Fuente: el blog de Malwarebytes. Esta en ingles.


Publicado : 12 de mayo de 2017 por Zammis Clark

Algo que muchos investigadores de seguridad han temido se ha hecho realidad. Los actores de la amenaza han integrado un exploit crítico que aprovecha un protocolo de comunicación popular usado por los sistemas de Windows, paralizando millares de computadoras por todo el mundo con el ransomware.

A las pocas horas de ser aplicado, un defecto que había sido recientemente remendado por Microsoft se ha utilizado para distribuir el ransomware de WanaCrypt0r y causar estragos en todo el mundo .

En esta entrada del blog, vamos a describir el gusano responsable de difundir este ransomware mirando sus capacidades y lo que ha hecho esta amenaza tan exitosa.



Funcionalidad principal

WanaCrypt0r ha sido efectivo -no sólo el ransomware hace un bucle a través de cada sesión RDP abierta en un sistema y ejecutar el ransomware como ese usuario, pero el componente inicial que se deja entrar en los sistemas parece ser un gusano que contiene y ejecuta el ransomware, esparciéndose usando la vulnerabilidad ETERNALBLUE SMB ( MS17-010 ).

El WinMain de este ejecutable primero intenta conectarse al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. . En realidad no descarga nada allí, sólo trata de conectarse. Si la conexión tiene éxito, el binario existe.

Este fue probablemente algún tipo de kill switch o técnica anti-sandbox. Sea lo que sea, se ha salido un tiro por la culata a los autores del gusano, ya que el dominio se ha suprimido y el host en cuestión ahora resuelve una dirección IP que aloja un sitio web. Por lo tanto, nada sucederá en ningún nuevo sistema que ejecute el ejecutable. Esto sólo se aplica al binario con el hash listado anteriormente; Puede haber versiones nuevas lanzadas en el futuro.


El virus que afectó al mundo hoy ¿qué es?


Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos pasados, se instala un servicio mssecsvc2.0 con nombre de Microsoft Security Center (2.0) Service (donde el binario se ejecuta con dos argumentos), inicia el servicio, deja el binario del ransomware localizado en el gusano, y lo ejecuta.

Si se ejecutó con dos argumentos o más, -en otras palabras, si se ejecutó como un servicio- la ejecución eventualmente cae a través de la función de gusano.



hackers


Desde acá sige con google translate sin arreglar.

La función de inicialización llamada primero invita a WSAStartup() a inicializar la conexión en red, a CryptAcquireContext() , para inicializar la API de cifrado para que pueda utilizar un generador de números pseudoaleatorios criptográficamente seguro. A continuación, llama a una función que inicializa dos buffers utilizados para almacenar los DLLs de la carga útil del gusano, uno x86 y uno x64. Copia los DLL de la carga útil de la sección .data del gusano y luego copia todo el binario del gusano después de él.


hacking

El código de cada DLL de la carga útil es muy pequeño, solo se obtiene el C:WINDOWSmssecsvc.exe del recurso (es decir, el binario del gusano), y se deja en el disco como C:WINDOWSmssecsvc.exe (esta ruta es realmente codificada) y se ejecuta.


mundial




La vulnerabilidad de SMB se aprovecha para difundir el ransomware en todo el mundo



Después de inicializar la funcionalidad utilizada por el gusano, se crean dos subprocesos. El primer hilo escanea los hosts en la LAN. El segundo hilo se crea 128 veces y escanea hosts en Internet.

El primer hilo ( GetAdaptersInfo() de escanear LAN) utiliza GetAdaptersInfo() para obtener una lista de rangos de IP en la red local y, a GetAdaptersInfo() , crea una matriz de todas las IP de los rangos a escanear.



WorldWide

La exploración LAN es multiproceso en sí, y hay código para evitar el escaneo de más de 10 direcciones IP en la LAN a la vez.


RansomWare



El hilo de exploración intenta conectarse al puerto 445 y, si es así, crea un nuevo hilo para intentar explotar el sistema con MS17-010 / EternalBlue. Si los intentos de explotación tardan más de 10 minutos, se detiene el hilo de explotación.


hack hacking

Los hilos que exploran Internet generan una dirección IP aleatoria utilizando el generador de números pseudoaleatorios criptográficamente seguro del sistema operativo inicializado anteriormente, o un generador de números pseudoaleatorios más débil si el CSPRNG no se inicializa. Si la conexión al puerto 445 en esa dirección IP aleatoria tiene éxito, se analiza todo el rango /24 y si el puerto 445 está abierto, se realizan intentos de explotar. Esta vez, el tiempo de espera de explotación para cada IP no ocurre después de 10 minutos, sino después de una hora.

WanaCrypt0r

gusano worm

El hilo de explotación intenta varias veces explotar, con dos conjuntos diferentes de búferes utilizados (tal vez uno para x86 y otro para x64). Si detecta la DOUBLEPULSAR después de cualquier intento de explotación, utiliza DOUBLEPULSAR para cargar el DLL.


samba port 445


Proteccion

Es fundamental que instale todas las actualizaciones de SO disponibles para evitar que la vulnerabilidad MS17-010 los afecte. Cualquier sistema que ejecute una versión de Windows que no haya recibido un parche para esta vulnerabilidad debe eliminarse de todas las redes. Si sus sistemas han sido afectados, DOUBLEPULSAR también se habrá instalado, por lo que también será necesario eliminarlo. Un script está disponible que puede detectar la puerta trasera DOUBLEPULSAR y eliminarla. ( link: https://github.com/countercept/doublepulsar-detection-script )
Los clientes comerciales y de consumo de Malwarebytes están protegidos de este ransomware por la versión premium de Malwarebytes y Malwarebytes Endpoint Security , respectivamente.

Para detectar si el sistema esta comprometido por el backdoor "Doublepulsar":
https://github.com/countercept/doublepulsar-detection-script






RESUMEN LVL 5

Cierren el puerto 445 con el firewall de windows. El puerto esta asociado a la vulnerabilidad de Samba. -Pueden no cerrarlo y actualizar el win y saltean este paso-

Actualizen windows ( si lo tienen legal)

Luego pueden abrir de vuelta el puerto 445 si quieren. O déjenlo cerrado pero acuérdense de que lo cerraron. Despues si no pueden transferir una rchivo de ubuntu a win, es porque esta cerrado ese puerto.

Para usuarios avanzados: Ver si los kakearon antes y tienen metido el backdoor "Doublepulsar" con este script https://github.com/countercept/doublepulsar-detection-script



RESUMEN LVL 7


Unos peluchines crearon un gusano, que a su vez utiliza el backdoor "Doublepulsar" ( supuestamente de la NSA) que afecta una vulnerabilidad de windows,
y muchas empresas que no actualizaron las computadoras se vieron afectadas, como la empresa Telefónica.
El gusano contiene un ransomware, encripta tus archivos y hasta que no pagas una X cantidad de bitcoins, no te pasa la clave para desencriptarlos ( si es que la pasan ).



otro post sobre el tema: https://www.taringa.net/posts/noticias/19876423/Hackers-utilizan-backdoor-DoublePulsar-de-NSA-para-atacar.html


Comentarios Destacados

qwerty_rc +287
No entiendo una mierda ¿Esto significa que despertó Skynet?
El virus que afectó al mundo hoy ¿qué es?
Matonsisimo-kid +3
N.S.A .
hackers
Omaru18 +3
@Dakzx44 parece la dirección de una web chilena
ccanavezzi
@Matonsisimo-kid

Moby aprueba tu comentario.
MeDicenBulma +106
hoy llegue al laburo y estaba ese virus de mierda xd
MenhirMenhir
@jirafa63 y donde hay que hacer ese c lick?

no entendi bien que es lo que hace el virus, te traba la pc? eso? tendrias que borrar el disco para eliminar el virus?
mecopoeltema +1
@MenhirMenhir Según lo que vi en las noticias te comprime con clave tus carpetas personales y luego te pide que pagues con bitcoins un rescate.
TitoxD
@jirafa63 Pelotudos sobran. Ya entro un ransomware una vez pero fue dentro de todo tranqui, infecto 2 maquinas y el servidor pero pocos archivos. Sin formatear pudimos solucionarlo y no volvimos a tener problemas.
Nacchos26 +95
todos preguntando si les dio el virus aqui y para los que se asustan se lo mandaron a empresas grandes que saben que tienen que garpar, para que querria la informacion de virgos con travas y dibujitos en pelotas?

121 comentarios - El virus que afectó al mundo hoy ¿qué es?

javierjrsmatador +18
Por eso yo uso
hacking
deltasquad91
usá dos de estos como yo
mundial
Omaru18 +1
@deltasquad91 Salvada de (-1) desde Linux Mint ...
deltasquad91 +2
@Omaru18 Gracias por el positivo, esos windows fanboy no aceptan la verdad..
Seguro son negros envidiosos, Cuantas distros tenen
afi336 +17
como se si tengo ese virus?
teamcoz
@hill5 el unico que levanto la mano para ver como andaban las cosas fue el kaspersky los demas hasta el momento no dicen nada, me imagino que solo dejara esperar a ver que pasa, la solucion mas obvia seria no bajar ni abrir nada durante un rato, ya cuando salga algo seguro para los demas SO veremos que pasa.
uxell
@teamcoz 24hs? Yo vengo leyendo de esto hace unos cuantos dias. Al parecer ahora se masifico. Es mas, creo que a un chabon de mepes ya le habia pasado.
teamcoz +1
@uxell en si tiene ahora mismo mas de 24 h pero en si fue algo nuevo tal ves lo confundes con otro, sobre todo que empezo en inglaterra y españa, despues parecia arbolito de navidad prendiendo focos rojos en varios paises del mundo kaspersky lleva el contador creo y otra pagina dejaba ver los ataques en el mapa global , de ultimo aprece que solo se concentran en paises como china,rusia, korea del sur y usa, ademas de contadas ocaciones en america latina.
juliansagitario +3
y como derras el 445 ? tengo wind orig , y al actualizardefender me indica una falla
Reptilianonymous
Proba actualizar de a 1 update o de a 2 o 3 ( no todos juntos si son muchos ), y primero los mas viejos. Actualizalo de a pedacitos, a veces funciona. Sino hay un programa que ayuda con esos problemas del windows update pero no recuerdo cual es.

El puerto 445 se cierra de windows firewall. aca hay un link en ingles.

http://www.thewindowsclub.com/block-open-port-windows-8-firewall
darksluis +13
dale soy medio pelotudo , como bloqueas el puerto ?
Reptilianonymous
@World_Traveler ni idea si el win7 esta parcheado. el win 8 y 10 sí. Tenes que fijarte si es legal ( usualmente hay u sticker atrás con el n de serie de win), si hay un parche para win7 contra la vulnerabilidad, y si no es legal, ver como actualizarlo. La vulnerabilidad es del puerto 445 que usa el protocolo samba para transferir archivos. Si esta cerrado, por lo menos no te entra de prepo.
World_Traveler
@Reptilianonymous hay una imagen al costado de la info de que win esta activado

"pida sofware microsoft original" imagino que es legal ... pero como te digo lo compre en una tienda media trucha y no tengo la mas puta idea de si debo actualizar o dejarlo porque el windows update lo tengo desactivado
Reptilianonymous
@World_Traveler usualmente tiene un sticker atrás con el numero de serie del windows legal. sino vas a tener que fijarte como actualizar windows truchos si es el caso.
O mientras, cerrar el puerto 445 hasta que encuentres la solucion a los problemas anteriores.
azxs_ +86
profecía???
joelitox22 +36
Iba bajando de a poco desde el cel la imagen hasta que llegue al kak the planet. Estallé jajajaj
azxs_
SnakeSnaaaaaaake +25
ccanavezzi +33
La compu más segura es la que no está conectada a la red está apagada.
johteku +5
RansomWare
-Alonsoftware-
La compu mas segura es la de un putaku. Nadie querria secuestrar lolis. O si
deltasquad91 +9
hack hacking
Ya cuando te infecten en linux, mandas todo a la mierda
OtakuPoser +1
Sea lo que sea, se ha salido un tiro por la culata a los autores del gusano, ya que el dominio se ha suprimido y el host en cuestión ahora resuelve una dirección IP que aloja un sitio web


El dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com aun anda
Reptilianonymous +1
Claro, ahora aloja a otro sitio web, no al del atacante. Lo foawardearon
0oPePeo0 +20
como se nota bill gates le anda faltando plata siempre pasa lo mismo con lo s.o del 98 al 2000 y el cuento del xp no es seguro(vista no cuenta es una japi) salto al 7 hora hay que pasar al 10 por seguridad jaajaja puro cuento chino
AramisL
@0oPePeo0 jjajajja se nota que en tu pc solo hay porno, porque no tenés nada valioso que lamentarías perder al formatear el disco XD
0oPePeo0
@AramisL todo ala nube o al disco portatil . el disco la pc es solo se usa para formatiar y guardar win
0oPePeo0
@AramisL todo ala nube o al disco portatil . el disco la pc es solo se usa para formatiar y guardar win
Don_Blanco +3
si vas a poner llo del translate ponle tambien el texto ioriginal en ingles, no se entiende una mierda papu, barato tu crap, akta verwenza, salu2
dvevw
Me Vale Vergas La Gente Rata
djdarwinais +59
que grande estamos en sus manos en cualquier momento krakea un misil nuclear.
WanaCrypt0r
Jony_rock0222 +11
ese pelo jajaja, me hace acordar a mi a los 13 años
ElSucioPotter0 +5
La única forma de que te metan el virus es descargando algún archivo??
Decían por ahí que no abras e-mails raros que no sabes quien te los manda
paupiz
no solo eso, en el laburo no prendieron las pc directamente :p
Drtadwinslow +2
Dicen que tenés que actualizar con el update, yo tengo W10 y siempre se me actualiza solo, no puedo deshabilitar esa opción...

Soy ininfectable
caballo2000
@Drtadwinslow es mejor que se actualice solo para que así estés más protegido. por ejemplo quienes tienen los updates automáticos, no son afectados. solo los que tienen windows xp, 2000, 2003, vista, 7 y 8 sin el update necesario.
SurrenderAt20 +55
chicuzo +6
Recortado con cuchillo y después blureado jajajaja genial
leomorareyes +19
pero el porno esta bien?
Caesar96 +12
es lo primero que te encriptan
Mi37 +2
ni tan peligroso si siguen taringueando aqui
argenmaro +5
Seguro algun blog conspiranohico le va a echar la culpa a Corea del Norte o a Rusia.
nicoyef
De hecho ya lo están haciendo, porque en Rusia no hay casi infectados con el virus
mecopoeltema +1
Ya se la echaron , leí que fueron unos hacker de habla rusa.
"Se trata de un tipo de código malicioso cuyo uso, debido a su efectividad, aumentó fuertemente durante los últimos años. De hecho, sólo en 2016 analistas del Kaspersky Lab detectaron un total de 62 familias de ransomware distintas (de las cuales 47, es decir el 75% del total, fueron desarrolladas por "cibercriminales ruso parlantes"."
ReyCasas1 +15
-Sabia que pasaría esto...
gusano worm
samba port 445
windows vunerability
teamcoz +4
tambien puedes actualizarlo estando pirata, me acuerdo cuantos se sentian capos ya que jamas actualizaban en SO, ahora son los primeros en saltarle el mensaje.
Joraga
acababo de leer a macrigatou,y ya me quito media duda.
teamcoz +1
@Joraga de momento si no tienes windows 10 estas en peligro, al parecer te infectas si abres un documento de word via tu e-mail, la otra es que se infecte alguna de tu red ( digamos la de tu hermana) cone so se va todo ala mierda.
caballo2000
@Joraga solo si te llega el email del virus y lo abres.
MateoRex +20
¿Querés ver tele por internet? Pasá. (07/08/2017)
gastonponso1
Quiero pensar que asi estamos la mayoria,eso me haria sentir mejor sobre mi completa ignorancia del tema
CorajeTaringuero +7
Una preguntita che,yo no actualice un carajo,lo actualizo ahora? es necesario cerrar el puerto 445 y como lo hago? una ultima cosita,yo estuve mirando porno hoy a la tarde y me comi alguno que otro adware,no tiene nada que ver,verdad?
CorajeTaringuero
@Reptilianonymous cual es basicamente el parche? hay algun lugar de donde descargarlo?
CorajeTaringuero
@Reptilianonymous che cerrar el puerto es lo mismo que bloquearlo? que despelote
PapanatasZM
@CorajeTaringuero queriendo descargar el parche vas a terminar descargando el virus, no seas paranoico nadie quiere tu informacion
-AJS-
Emm no quiero meter la política en esto ¿Pero no se dieron cuenta que aparecieron muy pocos post de los K?.
GUATO123456 +20
El virus que afectó al mundo hoy ¿qué es?
agustinmp +17
campaña publicitaria para la 3ra temporada ..


taringa la concha de tu madre con tus videitos de propagandaa
PeasantLaburante +4
@agustinmp lo ironico es que uno despues se la descarga sin pagar un mango XdxDxddd
VisionHolistica +27
vos sos un nabo o vistes mucho de esto

link: https://www.youtube.com/watch?v=RbArCOuDevs
qwerty_rc +8
Lo más berreta que vi en mucho tiempo
themetaldemon666
Siempre me pregunte porque en argentina no hacemos cosas con la accion, novelas que la incluyan o cosas asi, pero estos videos me dan la respuesta
a menos que sea una novela costumbrista, somos malisimos
heydudewtf +6
es patetica esta escena jajaj
LincesaMdq +1
Ahora nos van a secuestrar por bitcoins y Taringa que no paga
ulloasalta +8
Este virus es "nuevo" y tiene mucha publicidad digamos pero desde el año pasado que se esta propagando estos virus que encriptan los archivos todos los word algunas fotos tmb te la cambian de extencion y te ponen un archivo de texto con un correo y la x cantidad de bitcoins que quieren.
WingedHussar +11
@teamcoz todo eso gracias a los enfermitos del NSA y los pajeritos de la CIA que te hackean todo despues les roban el malware
Gongruijin1 +3
@WingedHussar Que verga, ademas que cuando creas cuenta en google, te ficha hasta el ano, no hay salvación, y ni ganas de pasarme a linux o ubuntu porque es todo chamuyo, no los kakean porque son sistemas impopulares .
herni_no_gay +9
@Gongruijin1 No capo, no los hackean porque sus users no abren como root cualquier pelotudes, además es muy difícil crear algún malware para ese núcleo, pero muy. Si te entra un virus en linux (99% improbable) sos muy pelotudo
avaporel
Pregunta, el puerto 445 no solamente era usado en windows 2000 y XP?
avaporel
@Reptilianonymous pero es bueno que compartas y expliques esta información muy detallada ademas, eventualmente sera mejor migrar a windows 10 para minimizar estos riesgos, en cuanto pueda +10, sale reco y follow capo, saludos.
NiXoNXp +5
@Reptilianonymous hackers
Quien deja el puerto de samba abierto a internet?
avaporel
@NiXoNXp aca una herramienta básica para determinar riesgos
https://www.testdevelocidad.es/test-de-puertos/vulnerabilidades-y-troyanos/
tomideola +2
Ese virus te lo meten únicamente por mail??
tomideola
@Reptilianonymous Es difícil hacer eso??
Reptilianonymous +1
@tomideola cerrar el puerto, es fácil, en windows firewall, para windows 7, googlealo, porque solo tengo el link para win8-10. "como cerrar puertos en windows 7" o algo así.
asi por lo menos estas asegurado mientras buscas en google si win7 esta parcheado o no. algo es algo.

o tambien, instala ubuntu con libreoffice. porque win7 creo que v por la senda del xp, y ya no tendrá mas actualizaciones.
tomideola
@Reptilianonymous Gracias maquina...ahí te van unos puntines
b2kxi +2
http://www.ehowenespanol.com/puerto-445-windows-7-info_565864/
seiferkun +5
al año los noticieros del mundo sacan 1 o 2 notas alarmantes de algun virus de pc diciendo que es el fin del mundo moderno
herni_no_gay +4
@Andogg El I love you y el Melissa en su momento fueron famosos
Andogg
@herni_no_gay de Melissa si escuche aunque mas tirando del 2008 en adelante cuando le di mas pelota a la tv
daniel_emilio
@Andogg entonces el win xp, me acuerdo allá por el 2003 salió uno que afectó a todo me acuerdo que en telefe mostró, no se acuerdan gente era el que te apagaba el sistema a lo 30seg. Me acuerdo bien porque fue el primer virus que me rompió los huevo mal!
DMDIEGO +4
jaja le doy a actualizar el win y se queda trabado buscando actualizaciones

igual creo que esta actualizado la ultima instalación fue el 30/04/17
leo3487 +11
por cierto usaron una herramienta creada por la NSA
asbery +2
grande peluchin
matias6142 +5
Menos mal que uso Gentoo Linux
Walrus10 +1
@matias6142 si hay que tener cuidado nada mas, obiamente tambien me siento mas seguro en linux.
HKler +3
@Walrus10 atacar a uno que usa linux es ANTI ÉTICO, creeme, si hay un hacker que ataca linux, es uno que no tiene codigos, merece que le peguen un tiro, si yo un dio quiero hackear, va a ser a los de windows y apple obvio
Caesar96 +3
Menos mal que ejecuto Windows en una maquina virtual en Ubuntu.
megalogo +32
Obviamente este virus se propago porque algun gordo boludo se olvido de actualizar el sistema de la planta nuclear que esta a cargo
hacking
Vault_Tec
Que lenguaje es ese?
Walrus10 +3
@feder777 es
fubadi +3
Es un desensamblado, ese código lo sacan haciendo ingeniería en reversa a los ejecutables, básicamente la herramienta (desensamblador) analiza los binarios y te dice el equivalente
en ensamblador o también aproximadamente el código del que fue compilado (decompilador). Luego con mucha paciencia reconstruyen y dan formatos lindos al código y nombres si las variables/funciones fueron ofuscadas

Hay partes en C++ y otras en ensamblador.
Vault_Tec
@fubadi Gracias capo, suena bastante interesante!
chicuzo +12
kak the planet!
harrysnake
No entendí un carajo pero te dejo 10 puntos por los resúmenes, saludos
HKler
POSTA DE LA POSTA, podes hacer un testamento pero si pones un resumen por lo menos te ganaste puntos, y si se trata de algo interesante, 10 de una.
hernaux +12
Este programita mendiga más dignamente bitcoins que algunos usrs de taringa...
mecopoeltema +2
chino_rosarino
y que piensan que fui yo naaaaaaaaaaaa incapaz de mandar virus en un gif
GNR_gamer_11
Pero no entiendo como llega a las computadoras elepeeme
KovasiKa +90
Si no entiendo no me afecta

hack hacking
Gongruijin1 -16
Mas bien si sos un negro pobre no te afecta.
Yo me siento re mal, tengo kilos y kilos de porno, encima fotos de mi waifu que las guardo desde hace años
osquall
mas bien si tengo linux no me afecta
Nafa16 -1
Este es peor

WanaCrypt0r
_LordKa_
y que? y que?????? desconecto el drive 1 y lo convierto en externo... son inimputable hermano... en 10 dias pago los bitcoins