Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Hombre no, así no se propaga.

Para propagarlo como tu dices, debes de tener permiso de escritura en las unidades remotas de los demás equipos y eso no lo deberías tener.

Lo que si tendrás acceso es a las unidades de red, y esas que son las compartidas por todos son las primeras en caer.

Un usuario normal no debería poder hacer \\equipo2\c$ y poder entrar.

Lo que hace este ransomware, tras cifrar los archivos del equipo al que ha infectado, es escanear la LAN en busca de equipos que no tengan parcheada la vulnerabilidad MS17-10. Si los hay, tambien los infectará (pues es precisamente la existencia de esa vulnerabilidad la que le permite hacerlo sin necesidad de disponer de los privilegios que apuntas), cifrará sus archivos y seguirá el mismo patrón de escaneo que ya realizó desde el equipo anterior.

Revisa la información sobre esa vulnerabilidad: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Una noticia aclaratoria, por si alguien quiere enterarse un poco sin revisar el enlace más técnico anterior: http://www.abc.es/tecnologia/redes/abci-lecciones-y-reflexiones-sobre-mayor-ciberataque-201705141554_noticia_amp.html

amigo dangi, informate sobre lo que es un remote code execution, porque lo que has dicho es extremadamente simplista y no se ajusta a la dura realidad de las amenazas que afrontamos en nuestro sector.

ojalá... pero no. este wannacry iba combinado con un RCE que tiene menos de 30 dias de luz publica. Sumamente peligroso.

Pues anda que estás tú enterao macho...

Jajajajaja

en este caso concreto los sistemas que siguen recibiendo soporte, recibieron parches hace aproximadamente 20 dias (si, antes de que este desastre sucediera ya sabiamos que habia vulnerabilidad)

Por lo tanto la respuesta corta es
"sí, si instalas las actualizaciones críticas cuando se te ofrecen"
a windows XP está claro que no van a llegar :)

Ya no se publican parches de seguridad para xp, ni para vista, por lo tanto no tienen protección ante nuevas amenazas (aunque con un antivirus esto se debería solucionar)

no, con un antivirus no se soluciona todo. solo parte. es ley de vida!

You know nothing Jon Snow...

XP tambien es vulnerable.
No se menciona en algunos comunicados por... asumir que es tan viejo que no hace falta ni mencionarlo porque nadie (deberia) usarlo

¿Y tú te lo crees? ¿En serio?

Windows xp, ese sistema operativo donde por defecto estaba abierto el puerto para mensajes en red... Que se infectaba con solo mirarlo... Pocas empresas han adoptado windows xp, casi todo lo que se orientaba a profesionales tiraba de 2000/nt luego han ido saltando versiones hasta el server que aun a día de hoy está funcionando muy bien.

Para mi, no hay sistema operativo seguro, solo usuarios seguros y cada vez menos.
Antes usar un pc no era abrir facebook y demas mierdas sociales. Por el camino se han ido perdiendo las buenas costumbres. Algo tan sencillo como las extensiones de archivo son cosas que no sabe mas del 10% de los usuarios de pc actuales... a ojo claro.

Haced la prueba y preguntad a vuestros amigos y familiares.

Cualquiera que de un buen uso a un equipo tiene un riesgo mínimo. El problema es que el grueso de los usuarios meten mano donde no saben y luego llaman al informático de turno para que investigue que coño le ha pasado al pc, cuando si le ocurriese a el reduciria el tiempo de solucion y evitaria formateos de discos.

jaja, estaba molestando no mas! se que xp no va ma'... aguante Symbian!!

Sí, pero exige contraseña de administrador para instalarse... no creo que ningún IT se la de a los empleados...

En casa tenemos un macOS (o OSX) que usa mi augusta señora y yo manosea de vez en cuando, y no recuerdo yo que para instalar cualquier programa haya pedido nunca contraseña de administrador, nunca. ¿Me estoy perdiendo algo?

Desde OSX Sierra no se puede instalar fuera de la MAC App Store sin haber cambiado la opción antes, teniendo que poner la contraseña del usuario para el cambio de la preferencia del sistema, o en su defecto la del Apple ID en la App Store....
Te has perdido algo seguro xD

Joder, macOs Sierra, de hace un año. Todo lo anterior tan seguro o tan inseguro como Windows. Pero la verdad, no sé qué seguridad extra tiene macOS sobre Windows. En Windows tienes que decirle EXPLÍCITAMENTE que quieres instalar algo, desde hace años (Windows Vista) y en macOS se ve que sólo desde hace un año. Claro que puedes configurar Windows para que no pida permiso para instalar algo, pero lo tiernes que hacer EXPLÍCITAMENTE. En la práctica, en Windows se instala sólo lo que tú quieres que se instale.

¿Pero por qué lo conviertes en un Windows vs OS X? Yo me siento más cómodo con OS X, aunque en mi Macbook Pro en este mismo instante estoy usando Windows 10... pueden ser ambos igual de útiles y buenos, pero vamos, aventurarse a llamar a Windows el más seguro, es para mí, un error... si fuera a valorarlos, lo pondría como el más inseguro entre GNU/Linux, OS X, y Windows...

Que todo el mundo cambia para poder instalar aplicaciones que no provienen de la appstore... porque no a todos los usuarios de mac les gusta pasar por el aro de apple.

PD: En windows también te pide permiso de administrador para poder instalarse un ransomware... el problema es que la gente da esos permisos porque ni leen ni se preocupan por los avisos de seguridad que da el sistema.

Ningun sistema con conexion a internet es seguro al 100% por muy seguro que sea

No creo que sea así, sólo me pareció curioso que hablara así un experto como Chema Alonso... y no tengo ni una centeava parte del conocimiento en seguridad como él, pero me aventuraría a decir que Windows, al tener un usuario por defecto administrador es el más inseguro... y ésto es un ejemplo...

¿Usuario por defecto administrador? ¿Qué quieres decir con "por defecto"? ¿Em macOS el usuario "por defecto" es invitado, no administrador?

No nombro macOS en concreto, simplemente en windows cualquier usuario creado por la instalación del equipo, puede instalar cualquier cosa, en macOS o linux, sin la contraseña de administrador o su, no.

En Windows no te pide la contraseña (que de todas formas ya sabes, puesto que la has usado para entrar) pero sí confirmar que quieres instalar cualquier cosa. Yo mismo, siempre uso un usuario admin (mala cosa, ya lo sé) y siempre, siempre me pide confirmación cuando quiero instalar algo, incluso cada vez que arranco según qué programas o cuando quiero trastear en según qué carpetas. Windows da ya suficiente seguridad para que el usuario instale cosas siempre con su pleno consentimiento, si el usuario es lerdo es que es lerdo, Windows no tiene la culpa.

Estoy de acuerdo contigo en que el culpable es el usuario, pero vuelvo a mi primer comentario, Chema Alonso dice que Windows es probablemente el SO más seguro, y para mí eso es una aventura decirlo, pienso que si los empleados de Telefónica usaran linux, no habría pasado...

Ya, y si hubieran usado Windows 3.1 seguramente tampoco, porque nadie programa virus o malware para Windows 3.1, al igual que nadie programa virus o malware para linux, porque nadie usa W 3.1 y apenas nadie usa linux. Joder, Android, con linux, es un sumidero de mierda. ¿Por qué? Porque lo usa todo el mundo, por eso sale a cuenta programar mierda para Android y no para Windows Phone, que apenas usamos cuatro.

El usuario en Windows no es administrador por defecto, como dices. Desde hace muchos años, la cuenta de usuario está limitada, y pide permisos de administrador cuando intenta instalarse algo.

alex, las cosas no son tan sencillas. la falacia estadística apoya tu idea, pero no es real, como te digo es una falacia. el tema es que si juzgamos friamente la calidad y robustez de una arqitectura, de un codigo, windows no tiene por que ser menos seguro. pero wndows lo usa todiós y por tanto es el blanco numero uno con una diferencia abismal respecto a los siguientes, cosa que hace que experimente muchisimas mas incidentes en todos los ámbitos.

el ejemplo de usuario por defecto no es nada. es irrelevante en la mayoria de posibles vectores a los que tenemos que dar cobertura y proteccion cada dia desde los departamentos de ciberseguridad. y gnu/linux tambien tiene a root pero a nadie se le ocurre insinuar que por ello es inseguro.

es sano que intentemos no reducir las cosas a una cuestión de sí o no, porque tendemos al absurdo, al reduccionismo mas extremo que no nos deja aprender ni entender nada.

Entiendo la 'excusa' de la probabilidad por uso, pero no comparto que sea el más seguro... básicamente porque se prima que sea accesible para cualquier usuario, a que sea seguro, no creo que esto pase tan alegremente en Linux si se usara por la mayoría de los usuarios.
Si se enseñara un poco mejor a los usuarios y se mantuvieran premisas de seguridad como se mantiene en linux no pasaría tan fácil.

El problema no es tanto la conexión a internet como los usuarios berzotas. Si uno recibe un correo con un fichero ejecutable, lo abre y va diciendo sí a todo lo que le pregunten aquí no hay seguridad que valga, para el ordenador el usuario ha instalado voluntariamente un programa que puede hacer todo el mal que el programador quiera que haga. Con un poco de cabeza es improbable (aunque no imposible, ya lo sabemos) que te ocurra algo. Tener conexión a internet es como poder salir de casa, si no sales nunca te ocurrirá nada, no falla, pero si sales y no haces el burro es poco probable que te roben o te atropelle un coche, si cruzas la calle a lo loco y frecuentas según qué ambientes algo te va a pasar seguro.

Debes considerar el concepto de "vulnerabilidad", porque parece que pocos lo están teniendo en cuenta en sus comentarios.

Si un usuario "berzotas" hace lo que indicas y su equipo está en la misma LAN que el tuyo, sólo con que tu equipo no haya sido parcheado vas a infectarte. Y no tendrás que abrir ningún correo ni adjunto, bastará con que te falte el parcheo y tu equipo esté encendido y en la misma Red local que uno infectado.

El problema son las vulnerabilidades pues, debido a ellas, hasta teniendo un comportamiento inteligente y cuidadoso puedes quedar expuesto.

Si además habláramos de "zero days" (vulnerabilidades que las empresas no conocen aún para poder parchearlas, pero que algunos delincuentes sí conocen para poder explotarlas) el riesgo a estar expuesto se multiplica exponencial mente.

Vale, entre los berzotas incluyo a los que no tienen al día su sistema operativo.

No, ni presumo de ello, pero la 'excusa' de predominante en el sector sirve siempre para excusarse a Windows, y creo que esa cantinela ya cansa... Si se usara linux en Telefónica, no pasaría 'tan fácil'.

De ahí que en Android cosas como ésta no pasan "tan fácil", por ser linux.

¿Hay casos en Android dónde la apertura de un archivo (no la instalación de un apk) te secuestren tus archivos?

No sé si ha pasado alguna vez, pero, creo que no, incluso siendo Android, no una distribución mantenida por la comunidad.

Pon “ransomware Android” en google, y date gustito.

De hecho, gracias a los “tokens” y los permisos que dan los usuarios por costumbre, cualquier hijo de vecino puede tener acceso a tu información (y con decir tener acceso me refiero a leer, escribir y borrar), dejando a la seguridad en Android en una simple rascada de bolas, y dado que Android es Linux, dejando la seguridad de Linux en una rascada de bolas.

Windows es quizás el SO más seguro del mundo, pues es el SO que más huecos a cubierto hasta la fecha y por su número, es quizás el más atacado y blindado con el tiempo. Linux ni ha sido atacado y solo dios sabe cuántos huecos le ha faltado por cubrir, y esto es por sentido común. El software puede fallar por número de usuarios (si tu software falla lo corriges y sigues, si no falla, nunca lo corriges), entre más crese tu número de usuarios más fallas corriges, si se mantiene, también se mantienen tus errores y vulnerabilidades.

Una instalación de Transmission, que te pide contraseña...

Y cual es la diferencia? El ransomware para Windows también te pide permisos de administrador. El usuario da esos permisos y ya está. Y en OSX también. Y si fuera Linux el usuario haría lo mismo, dar los permisos necesarios.
Te invité a buscar el ransomware para OSX de 2016, porque aunque pide contraseña los usuarios metían la contraseña, y se extendió hasta convertirse en noticia.
El fallo de seguridad no está en el sistema operativo, ni Windows ni OSX ni Linux. Está en el usuario que autoriza todo sin leer y sin importarle lo que significa.
Por eso afirmar que Linux o OSX es más seguro que Windows es absurdo.

Error de errata: puse mal "acerque".

Mucha razón, es improbable decir el "Mejorar tu seguridad" cuando en este caso el eslabón no haya sido el usuario, sino el mismo sistema...

No se puede desencriptar AES-128 por fuerza bruta.

Kaspersky lleva años elaborando aplicativos específicos para poder descifrar los archivos afectados.

En general, este tipo de herramientas necesita que alguien que se haya visto afectado y se haya encontrado cifrados sus archivos tuviese una copia de seguridad de los mismao. A partir de ahí, se localiza uno de los archivos cifrados por el ransomware y su correspondiente copia de seguridad sin cifrar, se cargan ambos en la herramienta de descifrado, y ella se encarga de compararlos y encontrar la clave que ha convertido a uno en el otro.

No obstante, no es tan sencillo, pues el tipo de cifrado puede variar de un malware a otro. Sólo hace falta dar un vistazo a la gran cantidad de herramientas de descifrado puntuales que kaspersky ha ido publicando estos últimos años: Decryptors

Lo siento, pero un ataque "Known-plaintext attack" como el que comentas teniendo el fichero original y el cifrado, si es con AES no es posible, o al menos en tiempo actual de computo.

Sí, pero depende. Si la HP de herramienta varía la key para cifrar el archivo en función de algo que desconozcas y que varíe para cada fichero, como por ejemplo la fecha de creación, el número de bytes del fichero, el tamaño del nombre del fichero, el nombre del directorio donde está, el número de serie del disco duro, etc. pues aunque se consiga la clave para descifrar un fichero, no garantiza que es la misma que para descifrar el resto de ficheros.
Vamos que aunque AES es un algoritmo de cifrado simétrico, si no tienes la clave de cada fichero...

Evidentemente es así. El cifrado puede llegar a ser prácticamente inexpugnable.

El ejemplo que he puesto aludía a algunos sistemas de cifrado de algunas versiones de ransomware iniciales.

El que está montando el "fregado" estos últimos dias he leído que usa cifrado AES-128.

En todo caso, me resultan siempre "sospechosos" esos casos de arrepentimiento por parte de los creadores de algunos ransomware (osiris, teslacrypt, crysis, etc.) que, de repente, hacen públicas las claves. ¿Puede haber algún sistema de descifrado por ahí del que no se quiere hablar? No se...

La encriptacion de datos se creo por motivos de seguridad, en el caso de que te roben el equipo en cuestion, la persona dueña de los datos los encripta para no sufrir un robo de sus datos, por eso que la encriptacion es dificil de hakear, por ejemplo inicias sesión en tu banco, tu usuario y contraseña son encriptados, en el caso de que alguien quiera hackear esos datos se demoraría aproximadamente 100 años.

Tu ejemplo no es del todo valido, para transferencia de contraseñas se suelen usar Hashes, operaciones matemáticas de una sola dirección, dada la contraseña, generas su hash y es este el que envías por un canal (a ser posible seguro SSL y cifrado) y el hash en el servidor se compara con el hash almacenado, jamas se puede obtener el origen de un hash.

En el cifrado, necesitas ambas direcciones, dado un texto, con una PASS, poder cifrarlo, y dado el texto cifrado con esa PASS poder descifrarlo y obtener el original.

Después ya entramos en cifrados de única clave (simétricos), o de clave privada y clave publica(asimétricos). Y para AES (sea Rindjael, Serpent o Blowfish) el poder descifrarlos por fuerza bruta con el poder del computo actual no es factible, en un futuro ya se vera, pero no momento no.

Respecto al último párrafo, me hiciste pensar e imaginar cómo podría ser super incrementada esa velocidad de descifrado, o dicho al revés, la reducción de tiempo de ello, con el poder de los qubits en la tan esperada por muchos computación cuántica.
Es todo un horizonte fabuloso, pero también es una nada pequeña lástima que todavía lo debamos esperar. Ojalá todavía no me haga abuelo para entonces xD

No voy a defender a Chema que ya es mayorcito, pero aclarar varias cosas.

1 -> Esta al cargo de Eleven Path, no creo que el sea el responsable de TI de Telefónica, para eso tendrán a otras personas.
2 -> Da igual que tu seas el puto amo de la seguridad, si resulta que te imponen que tengan que haber sistemas con XP en tu red, (por cojones) pues como mucho puedes llorar y gritar que pueden venir los malos, malotes ha hacer sus costas, pero ya esta, te quedas con el culo torcido por imposición.
3 -> Si ademas, es una empresa de esta magnitud, con tantos trabajadores, puedes llorar todo lo que quieres, imponiendo restricciones de seguridad y lo que quieras, que siempre llegara el hijo de, o el primo de, y por ser quien es, otra vez por cojones, le tendrás que dejar ser Administrador de su maquina (Total que va a pasar ??? yo necesito ser el Administrador de mi maquina porque soy quien soy, tú protege el resto de la red que para eso te pago)
4 -> Lo único que puedes hacer, es prepararte para cuando algo así pase, que seguro va a pasar y tener medidas para reaccionar lo mas rápido posible, pero que te van a joder, ten por seguro que ocurrirá y pensar lo contrario es mentirte a ti mismo.

del PP

Pues mira, son todos del paro, reciclados de cursos a distancia de CCC de informática, en telefónica no contratan a nadie competente solo a inútiles.

Pillas que es sarcasmo, verdad ???

Van a tener que volver a fichar a Urdangarin ;-)

va a ser que los malos ya van muchos pasos por delante de tí... obviamente.
no se vana poner a hacer malware si supieran que es reversible. las leyes del cifrado son demasiado complejas para reducirlas a un antidoto universal. ya nos gustaria.
pero se agradece la buena fe.

Puede ser ocurrir lade "Smaug contra la flecha", donde el encriptado sea como el dragón y parezca invencible, pero tu halles una brecha entre las escamas y le des de lleno con ese hierro donde le mate. Nunca se sabe.

A mí me chupa el otro huevo. Tengo Windows y no hago el tonto. ;D

Si tienes el cliente de Dropbox instalado en tu PC, de forma que puedes acceder a esos archivos desde una carpeta de tu equipo, también se cifrarían.

Aunque (y que alguien me corrija si me equivoco) el cifrado se suele realizar de forma que se generan nuevos archivos (los cifrados) y se borran los originales (los no cifrados), es decir, que recuperando los borrados recuperarías los originales, y creo que Dropbox tiene una papelera para archivos borrados (de 30 días de duración para usuarios básicos) y un herramienta de mantenimiento de varias versiones de los archivos modificados (para usuarios premium) que te permitirían acceder a las versiones originales de los archivos antes de sufrir el cifrado.

En principio no porque tu no modificas el archivo, sino su cifrado.

Hasta donde sé, el virus sale de internet y entra al PC, donde ya allí hace el estrago con el cifrado de archivos. Ahí está la cuestión y de por qué el problema seguirá aunque le hagas 100 reinicios al equipo: el bicho sigue EN tu computador.
Suena cruel, pero es como que a un enfermo de algo lo "reinicies" y continúe mal, ya que a pesar de lo hecho, la enfermedad seguirá en su organismo.

En este caso concreto, para infectarse basta con no tener parcheada la vulnerabilidad MS17-010 en tu equipo y que éste se encuentre en una red local donde haya algún equipo infectado.

El parcheo soluciona el problema y, por lo que he podido leer, tener instalada alguna herramienta anti-ransomware también lo previene (por ejemplo, Anti Ransom v3 que es opensource - más información aquí: https://mobile.twitter.com/YJesus/status/863002116125859841 )

Cualquier manera ingeniosa con que un hacker consiga que ejecutes su programa en tu máquina. Por ejemplo, hace un par de años recuerdo que hubo gente que creo una página parecida a la de Mozilla y consiguió ponerla arriba en Google para que te bajarlas una versión crackeda de Filezilla.