WannaCry: ¿Qué es y cómo protegerse de de este ransomware?

El virus WannaCry se convirtió en la pesadilla de muchos usuarios de Windows (empresas, entidades públicas, particulares) en 2017. Este malware infectó miles de ordenadores en todo el mundo y causó graves pérdidas económicas. En este artículo veremos qué tipo de malware es WannaCry, cómo funciona y qué hace el virus WannaCry en los equipos que infecta. También os daremos varios consejos para protegeros de él y otros ransomware.

¿Qué es el ransomware WannaCry?

El ransomware WannaCry es un malware (software malicioso) que, una vez ha infectado al equipo de su víctima, bloquea el acceso de esta a varios o todos sus archivos. Dicho bloqueo se produce porque WannaCry, como otros ransomware similares, cifra los archivos aplicando una clave que la víctima no puede conocer.

Para poder descifrar los archivos y recuperar el control sobre ellos, el ciberdelincuente pide a cambio que se le pague un rescate; en el caso de WannaCry, un pago en criptomonedas que empezó en 300 dólares y subió hasta los 600 dólares.

El virus informático WannaCry afectó solo a ordenadores que empleaban como sistema operativo Windows, puesto que aprovechaba una vulnerabilidad de este, que, aunque había sido parcheada por Microsoft dos meses antes de que se desencadenará el ataque, muchos usuarios afectados no habían actualizado.

¿Qué tipo de malware es WannaCry?

WannaCry es un ransomware de cifrado. A diferencia del ransomware bloqueo, que impide el acceso a todo el ordenador, un ransomware de cifrado solo bloquea el acceso a determinados archivos.

Además, WannaCry actuaba también como un gusano, es decir, que tras infectar un equipo, procedía a seguir replicándose e infectando otros equipos. Esta característica ayudó a su rápida propagación.

¿Cómo y cuándo se originó WannaCry? ¿Quién lo creó?

La historia de WannaCry se remonta a 2017 y comienza con la NSA; la Agencia de Seguridad Nacional estadounidense fue la primera en descubrir este ransomware, sin embargo, no reportó su hallazgo a Microsoft.

Sin embargo, la historia se complica cuando el grupo de piratas denominado Shadow Data Brockers atacó a la NSA y e hizo público código robado de esta agencia. Las herramientas incluían una técnica de piratería secreta hasta entonces conocida como EternalBlue, que explota fallos en un protocolo de Windows conocido como Server Message Block para hacerse cargo de forma remota de cualquier ordenador vulnerable.

Varios investigadores de seguridad comenzaron a trabajar para tratar de descubrir los orígenes de WannaCry. Se indicó que el código podría tener un origen norcoreano. WannaCry había estado circulando durante meses antes de que explotara en internet el 12 de mayo de 2017. Esta versión anterior del malware, llamada Ransom, tenía puntos en común importantes en las herramientas, técnicas e infraestructura utilizadas por los atacantes con las utilizadas por el Grupo Lazarus (grupo de piratería que ha sido vinculado a Corea del Norte).

Esa filtración permitió que WannaCry llegará a manos de quienes llevaron a cabo los ataques del ransomware WannaCry en 2017 (y cuya identidad no se ha podido conocer), que afectaron en torno a 230.000 ordenadores en todo el mundo. Entre sus víctimas, Telefónica, Iberdrola, Gas Natural, el Servicio Nacional de Salud (NHS) de Reino Unido, FedEx, O2, Honda, diferentes universidades de todo el mundo y otras agencias gubernamentales de China, Colombia y Brasil, por citar algunas.

WannaCry fue parado casi tan rápido como su propagación, gracias a Marcos Hutchins, un joven británico, investigador de seguridad informática. Hutchins llegó a la conclusión de que WannaCry era un gusano informático y descubrió que el programa intentaba conectarse a un dominio web sin registrar. Cuando Hutchins compró ese dominio web, el ataque de WannaCry cesó de inmediato.

Características del virus WannaCry

Lo que hizo que los efectos del virus WannaCry fueran tan devastadores, fueron algunas de sus principales características:

• Aprovechaba una vulnerabilidad presente en sistemas Windows desactualizados (habituales en organizaciones y centros de enseñanza que tardan en aplicar estos parches).
• Se comportaba como un gusano (a diferencia de otros ransomware que emplean el phishing como medio de propagación).

¿Qué efectos causa el virus WannaCry?

Al igual que con otros ransomware, los efectos de WannaCry en los ordenadores infectados se aprecian desde el primer momento en que se ejecuta el virus; este muestra un mensaje informando al usuario que sus archivos han sido cifrados y exige un pago de rescate de 300 dólares en Bitcoin en tres días o 600 dólares en siete días.

Los archivos cifrados, como ya hemos señalado, son inaccesibles e, incluso si se paga el rescate (algo totalmente desaconsejado), no hay garantía de que las víctimas puedan recuperarlos; en el caso de WannaCry, no está muy claro aún si las víctimas que llegaron a pagar, consiguieron recuperar sus datos, incluso se cree que WannaCry en realidad no cifraba archivos, sino que los borraba y que los autores detrás de estos ataques nunca tuvieron intención de devolverlos.

Por lo tanto, WannaCry hace perder a sus víctimas aquellos archivos que haya cifrado.

¿Cómo afecta el virus WannaCry a los ordenadores?

Al infectar el ordenador y ejecutarse, como hemos visto, WannaCry trata de conectarse a un dominio concreto no registrado, al no poder conectarse, comenzaba a cifrar los datos del ordenador y a tratar de explotar EternalBlue para propagarse a más ordenadores en internet y en la misma red.

Un ordenador infectado buscará en la red de destino dispositivos que acepten tráfico en los puertos TCP 135-139 o 445, lo que indica que el sistema está configurado para ejecutar SMB.

Después establecerá una conexión SMBv1 al dispositivo y usará el desbordamiento del búfer para controlar el sistema e instalar el componente de ransomware del ataque.

De haber tenido actualizado Windows (como hemos señalado, Microsoft había sacado el parche dos meses antes), WannaCry no habría tenido tanto éxito ni causado tanto daño.

¿Cómo protegerse del malware WannaCry?

Ahora que ya sabemos qué es WannaCry, os dejamos varias recomendaciones para protegeros de él (aunque fue detenido, todavía existe y hay otras cepas similares) y de otros tipos de ransomware:

• Mantener siempre actualizado el sistema operativo y resto de software que usemos. Cómo hemos visto, parte del éxito de WannaCry se debe a que los ordenadores que logró infectar no habían instalado el parche lanzado por Microsoft para corregir la vulnerabilidad que explotaba el ransomware.
• Tener instalada una solución de seguridad que mantenga protegido el equipo y tenerla actualizada.
• No abrir enlaces o archivos adjuntos de correos sospechosos, podrían descargar el ransomware o conducirte a una página para descargarlo.
• No descargar software o archivos de sitios que no son de confianza. No en pocas ocasiones el malware se encuentra oculto en programas pirateados.
• No conectarse a redes WiFi públicas y, en caso de necesitar hacerlo, usar una VPN para ello.
• No conectar unidades de memoria externa (pendrives, discos duros) desconocidos al ordenador.
• Realizar copias de seguridad de manera periódica, puesto que en caso de ser víctimas de un ransomware, la información que podamos perder será mínima y podremos recuperarla con facilidad. Estas copias de seguridad deben mantenerse offline.

¿Cómo se transmite malware WannaCry?

Ya hemos adelantado en parte cómo se propaga WannaCry; este virus aprovechaba la vulnerabilidad denominada MS17-010 utilizando el código EternalBlue para atacar las redes SMBv1, que es el protocolo de uso compartido de archivos que permite al ordenador comunicarse con otros dispositivos conectados a una misma red (por ejemplo, con las impresoras). Aparte de EternalBlue, WannaCry recurría a la puerta trasera DoublePulsar para instalarse y ejecutarse en el equipo.

Una vez instalado en un equipo, WannaCry era capaz de analizar toda la red para encontrar otros dispositivos vulnerables y seguir propagándose de manera automática, sin tener que usar otros archivos o programas, haciendo que se comportase, como ya hemos dicho, como un gusano informático. De manera que bastaba con que un solo ordenador de la red infectase, para que el resto de dispositivos conectados a esa misma red se vieran afectados.

¿Es posible eliminarlo del ordenador?

Sí, es posible eliminarlo del ordenador, sin embargo, por las características del virus WannaCry, eliminarlo no nos devolverá los archivos cifrados, puesto que para eso necesitamos la clave de descifrado. Algunas empresas de ciberseguridad proporcionar herramientas de descifrado gratuitas para diferentes tipos de ransomware, incluido este, pero no hay garantía de que estas vayan a funcionar en todos los tipos de cepas. Por ello, siempre se recomienda tener copias de seguridad actualizadas y recurrir a ellas una vez se haya eliminado el malware del equipo infectado.

Para eliminar WannaCry del ordenador, debemos recurrir a una solución de seguridad que incluya un escáner para analizar todo el sistema en busca de virus y otros tipos de malware. Por ejemplo, podemos usar Windows Defender, la solución de seguridad que viene instalada por defecto en todos los sistemas Windows:

• Pulsa en «Inicio» y entra en «Configuración» (es el icono de la rueda dentada).
• Pulsa en «Actualización y seguridad».
• Pulsa en «Seguridad de Windows».
• Pulsa en «Protección contra virus y amenazas».
• Realiza un examen (puedes hacer un examen rápido, pero es recomendable hacerlo completo. También tienes la opción de realizar un examen sin conexión, que buscará determinados malware que resultan más complicados de quitar).
• Si Defender encuentra algún malware, podrás eliminarlo con ayuda de la aplicación.

Estos pasos son similares para otras soluciones de seguridad que puedas estar usando en tu ordenador. Pero recuerda, la mejor defensa contra el ransomware es realizar copias de seguridad de manera periódica, para perder la mínima cantidad de archivos posible en caso de sufrir un ataque de este tipo.