Los que trabajamos en el mundo de Internet estamos relativamente acostumbrados a ver este tipo de ataques e infecciones, pero este malware nos ha llamado especialmente la atención. Ya informamos a través de nuestras redes sociales a clientes y amigos de que evitaran abrir correos de desconocidos con archivos adjuntos que, en principio, era como se propagaba este virus.

En esta ocasión han aprovechado un bug de seguridad muy crítico, anunciado por Microsoft en Marzo del 2017, en el servicio de Windows SMB que permite al atacante hacerse con el control total del equipo e infectarlo con este virus. El virus ha sido modificado para buscar este fallo de seguridad en todas las redes internas de dicho equipo. Lo que parece extraño es que, si salió el parche de seguridad que lo corregía, cómo es posible esta difusión del mismo. La conclusión a la que llegamos nos señala la sensibilidad del sistema y la complejidad, en algunos casos, de la actualización masiva de parches de sistemas operativos.

El virus o malware afecta a las siguientes versiones de Windows:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

¿Cómo evitar la infección?

En el seno del Centro Criptológico Nacional, anexado al Centro Nacional de Inteligencia, nace en 2006 el CCN-CERT, organismo con responsabilidad en ciberataques sobre sistemas clasificados, sistemas de las administraciones públicas y empresas de interés estratégico para España. Brinda apoyo técnico y operativo en la gestión de incidentes de seguridad, tanto en su prevención y detección como en su neutralización. A raíz de las últimas noticias sobre el virus que está afectando a todo el mundo, el CNN-CERT nos recomienda realizar lo siguiente para evitar la infección de nuestro equipo:

 

  • O bien actualizar desde Windows Update (hemos podido aplicarlo con lentitud), o bien aplicar el siguiente parche que corrige el problema: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx (No hemos podido descargar los parches ya que sus servidores están saturados).
  • Desactivar el servicio SMB: https://technet.microsoft.com/es-es/library/ms143455(v=sql.100).aspx
    • Windows 2008 server. En powershell:
      • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
      • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -ForceWindows 2012 server.
    • Windows 2012 server
      • Set-SmbServerConfiguration -EnableSMB1Protocol $false
      • Set-SmbServerConfiguration -EnableSMB2Protocol $false
  • Dedenegar el acceso por firewall entrate y saliente a los puertos 137 y 138 UDP y puertos 139 y 445 TCP-
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows. En caso de positivo seguir los pasos de arriba.

¿Has sido infectado?

Si eres una de las empresas o particulares que has sufrido este ciberataque, primero aclararte que no tienes garantía alguna al pagar por recuperar tus archivos. Por tanto, te recomendamos que leas la siguiente entrada del Instituto Nacional de Ciberseguridad de España (INCIBE), quien dispone de un servicio gratuito de análisis y descifrado afectados por ciertos tipos de Ransomware.