Академический Документы
Профессиональный Документы
Культура Документы
Cabe destacar que, en esta versión del virus WannaCry, el cifrado de los
archivos prosigue tras la aparición de la nota de extorsión, al contrario
que en otras familias de ransomware que no muestran la nota hasta que
el cifrado no se ha completado (esto hace recomendable que cualquier
usuario que vea un mensaje de rescate en su pantalla proceda al
apagado inmediato de su ordenador y se pongan en contacto con su
departamento o empresa de servicios de IT o ciberseguridad).
HKLM\SOFTWARE\MICROSOFT\WINDOWS
NT\CURRENTVERSION\Schedule\CompatibilityAdapter\Signatures\Microso
ft
Update Scheduler.job
En cuanto a las cantidades exigidas por el ransomware para el rescate de
los ficheros afectados: El ransomware avisa a los usuarios infectados que
disponen hasta hoy día 15 de mayo para ingresar la cantidad de rescate
exigida (entre 300 y 600 dólares, a pagar en bitcoins). Transcurrido ese
tiempo, dicha cantidad se doblaría, dándose al usuario (en realidad víctima
del ataque más que usuario) otros cuatro días para poder realizar el pago.
Pasado el plazo de 7 días desde la infección, el malware anuncia que se
perderá la oportunidad de realizar el ingreso y de poder descifrar los
ficheros afectados y/o se producirá el borrado de los mismos.
4. Datos Adicionales
No está claro cómo se ha producido la ejecución del ransomware, pero se
especulan varias posibilidades. La tesis más probable sería que se haya
producido a la misma hora un envío masivo de correos de spam a miles de
direcciones de correo de empresas, organismos y entidades públicas y
usuarios particulares, con lo que las infecciones y propagación por la red se
habrían producido simultáneamente. La siguiente hipótesis que se está
valorando, es que el ransomware estuviera programado para ejecutarse a
una hora determinada del 12 de mayo, pero para eso hay que realizar un
análisis más exhaustivo de la muestra y no se dispone por el momento de
suficientes datos.
Sin embargo, se han observado otras muestras con al menos otro dominio
diferente: hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Incluso parece haberse publicado al menos una muestra que no llevaría la
opción de kill switch (que permite o no la propagación), aunque al parecer el
archivo de ransomware estaría corrupto y no permitiría la ejecución del
mismo.
Los pasos para evitar una posible infección y diseminación del gusano
serían:
5. Afectación
Según noticias del sector, se habrínan producido al menos 20.000 ataques,
aunque hay otras fuentes que amplían ese número. El número de países
afectados se estima que está en el entorno de 150, apareciendo Rusia
como país en el que el impacto habría sido mayor. No parece un ataque
dirigido contra una empresa o país específico, dado que ha afectado a
múltiples corporaciones de multitud de sectores y en diversos países, con lo
que enten-demos que el fin del ataque ha sido económico, como suele ser
el caso con el ransomware. La diferencia más notable frente a casos
anteriores ha sido el alcance global y su rapidísima capacidad de
propagación en las empresas afectadas.