Vie, 12/05/2017 - 11:18

El ataque se ejecuta a través del protocolo SMB que permite compartir archivos, impresoras, entre otros dentro de una red de nodos Microsoft, mediante la ejecución de comandos de forma remota, se ha logrado filtrar una variación del ransomware  WannaCry, que infecta los dispositivos cifrando sus archivos y de manera automática se distribuye a toda la red.  El siguiente link https://technet.microsoft.com/en-us/library/security/ms17-010.aspx brinda información oficial sobre el parche y las distribuciones windows que tienen soporte.

SISTEMAS AFECTADOS

  • Microsoft Windows Vista SP2.
  • Windows Server 2008 SP2 y R1 SP1.
  • Windows 7.
  • Windows 8.1.
  • Windows R.T 8.1.
  • Windows Server 2012 y R2.
  • Windows 10.
  • Windows Server 2016.

MEDIDAS A TOMAR

- Recoge y aísla muestras de ficheros cifrados o del propio ransomware como el fichero adjunto en el mensaje desde el que nos infectamos, por ejemplo.

- Clona los discos duros de los equipos infectados, es decir hacer una copia «exacta» de la información del disco duro en otro soporte, pues puede servir de evidencia si vamos a denunciar. Esta copia también servirá para recuperar la información en el futuro, en caso de que no exista de momento forma de descifrarlos.

- Desinfecta los equipos con algún antivirus auto-arrancable actualizado.

- Recupera los archivos cifrados si fuera posible. No siempre será posible recuperarlos inmediatamente, aunque a menudo con el tiempo se descubre la forma de hacerlo, por eso debes conservar una copia de los archivos cifrados.

- Restaura los equipos para continuar con la actividad, reinstalando el equipo con el software original y restaurando la información de la última copia de seguridad realizada.

- Cuidado al abrir ficheros adjuntos no solicitados. La mayor parte del ransomware se encuentra en ficheros adjuntos de correos electrónicos. Extrema las precauciones al abrir estos archivos.

- Segmenta la red local. Separa las distintas áreas con un firewall, de manera que los sistemas y servicios solo sean accesibles cuando son realmente necesarios.

- Bloquear el trafico saliente sobre el protocolo SMB en los puertos 137,138,139 y 445.