InternetNoticias

Diez euros y una palanca terminan con el ransomware WannaCry

Parece ser que ya se ha terminado con el ransomware WannaCry o al menos se ha conseguido que este deje de infectar y para ello han sido necesarios diez euros y una palanca… y un poco de ingeniería.

Las mejores cosas de la vida suelen pasar por accidente o cuando menos te lo esperas y eso es aplicable a tantísimos campos, como el de la informática. Seguramente a estas alturas todos seréis expertos en ransomware y en el amigo WannaCry, el que puso en jaque a Telefónica, al Ibex35 y a medio mundo, ya que como sabemos afecto a la red de hospitales de Reino Unido. Hoy sabemos que hay casi un centener de países infectados, entre ellos Rusia, concretamente el Ministerio de Interior, pero dicen que Putin se ha enfrentado a él y ha ganado.

Bien, entre todos estos hay un héroe accidental como es MalwareTechBlog, quien en su cuenta de Twitter ha anunciado que ha encontrado lo que se conoce como ‘kill-switch’ o un modo de apagado de emergencia dentro del código ransomware y se han apoderado del mismo. Según se puede leer en The Guardian, este WannaCry cuenta con un trozo de código que conecta con un dominio muy concreto. Si este lograba conectar, por decirlo de alguna manera, el malware paraba a hibernar y por lo tanto, no atacaba.

ransomware

Pues bien, con diez euros y una palanca, MalwareTechBlog ha solventado el problema. Estos buenos samaritanos, viendo que el dominio no estaba registrado, han pagado diez euros y se han hecho con el dominio. Justo después de hacerse con este dominio, detectado una gran cantidad de peticiones por parte de los equipos infectados. Este las redirige a un servidor sinkhole, el cual está registrando los datos del ataque y mandándolos, según aseguran estos buenos samaritanos, al FBI. El ransomware detecta conexión y pasa a no infectar el equipo. Asi de simple.

EL ATAQUE RANSOMWARE BASADO EN WANNACRY QUE CASI PARALIZA EL MUNDO

La solución es más fácil de lo que cabría esperar y nos proporciona buena información sobre como este ataque está dando por saco a nivel global. MalwareTechBlog, aprovechando todas las conexiones, ha desarrollado un mapa en tiempo real que nos permite ver de manera instantánea el origen de las peticiones, mientras que el New York Times nos muestra el mapa, pero en diferido, para ver cómo ha corrido este bichito por la red de redes.

Malwarebytes y Talos Intelligence, de Cisco esta última, han confirmado que existe este ‘kill-switch’. Ahora bien, lo que importa es que el ataque parece ser que se ha detenido o al menos, congelado y que está permitiendo, esta solución, bloquear la infección a nuevos equipos. Darien Huss de la compañía de ciberseguridad Proofpoint, asi lo afirma y también Warren Mercer, que es responsable técnico en CISCO y de Talos Intelligence. Malwarebytes lo ha explicado asi:

[quote bcolor=»#000000″]El WinMain de este ejecutable primero se intenta conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.

Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro[/quote]

Mostrar más

Roberto Solé

Director de Contenidos y Redacción de esta misma web, técnico en sistemas de generación de energía renovables y técnico electricista de baja tensión. Trabajo delante de un PC, en mi tiempo libre estoy delante de un PC y cuando salgo de casa estoy pegado a la pantalla de mi smartphone. Cada mañana cuando me levanto cruzo el Stargate para hacerme un café y empezar a ver vídeos de YouTube. Una vez vi un dragón... ¿o era un Dragonite?

Publicaciones relacionadas

3 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar

Bloqueador de anuncios detectado

Este sitio se financia mediante el uso de publicidad, miramos en todo momento que la misma no sea demasiado intrusiva para el lector y priorizamos la experiencia del mismo en la web. Pero si bloquea los anuncios, parte de nuestra financiación se verá mermada.