Wanna decryptor

Dominio de Wannacry killswitch

Wanna Decryptor apareció por primera vez alrededor de febrero de 2017 y funciona cifrando los archivos de los ordenadores objetivo antes de exigir el pago de un rescate en la criptomoneda Bitcoin. ¿Cómo funciona Wanna Decryptor? El malware se entrega como un troyano a través de un hipervínculo cargado que puede ser abierto accidentalmente por una víctima a través de un correo electrónico, un anuncio en una página web o un enlace de Dropbox. Una vez activado, el programa se propaga por el ordenador y bloquea todos los archivos con el mismo cifrado que se utiliza para los mensajes instantáneos.

Una vez cifrados los archivos, elimina los originales y entrega una nota de rescate en forma de archivo readme. También cambia el fondo de pantalla de la víctima por un mensaje que exige el pago para devolver los archivos. ¿Cómo se puede eliminar? No pagando el rescate. Los expertos en seguridad señalan que algunos antivirus son capaces de atrapar el virus Wanna Decryptor. “Este ransomware en particular es correctamente identificado y bloqueado por el 30% de los proveedores de AV que utilizan definiciones de virus actuales. Tanto Kaspersky como BitDefender lo manejan correctamente”, dijo Phil Richards, el CISO de Ivanti.

Eternalblue

El ataque del ransomware WannaCry fue un ciberataque mundial en mayo de 2017 por el criptogusano WannaCry ransomware, que se dirigió a los ordenadores que ejecutaban el sistema operativo Microsoft Windows encriptando los datos y exigiendo el pago de un rescate en la criptomoneda Bitcoin[5] Se propagó a través de EternalBlue, un exploit desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) para sistemas Windows antiguos. EternalBlue fue robado y filtrado por un grupo llamado The Shadow Brokers al menos un año antes del ataque. Aunque Microsoft había publicado parches anteriormente para cerrar el exploit, gran parte de la propagación de WannaCry provino de organizaciones que no los habían aplicado, o que utilizaban sistemas Windows más antiguos que habían llegado al final de su vida útil. Estos parches eran imprescindibles para la ciberseguridad de las organizaciones, pero muchos no se aplicaron por desconocimiento de su importancia. Algunos han alegado la necesidad de operar las 24 horas del día, la aversión a arriesgarse a que las aplicaciones que antes funcionaban se rompan debido a los cambios de parches, la falta de personal o de tiempo para instalarlos, u otras razones.

Código fuente de Wannacry

Si un usuario está infectado con el ransomware WanaCrypt0r/Wana Decryptor, es importante que lo elimine inmediatamente. Esto se debe a que, aunque no vaya a pagar el rescate, mientras el ransomware esté en funcionamiento seguirá cifrando los nuevos archivos que se creen. Esta guía orientará a las víctimas sobre cómo pueden eliminar la infección de WannaCry y Wana Decryptor 2.0 de su ordenador.

Esta guía, sin embargo, no le permitirá descifrar sus archivos de forma gratuita. Esto es actualmente imposible. Proporcionaré los pasos que puedes utilizar para recuperar posiblemente los archivos (pocas posibilidades, por desgracia) y los métodos que puedes utilizar para proteger tu ordenador del ransomware en el futuro.

No vamos a entrar en un análisis técnico de WanaCrypt0r en esta guía, ya que está diseñado para el usuario que sólo quiere eliminar la infección. Si desea leer un análisis más técnico de este ransomware, puede leer este artículo en su lugar: WannaCry / WanaCrypt0r Technical Nose Dive.

El ransomware WannaCry es una infección informática que está diseñada para encriptar tus archivos de manera que no puedas abrirlos y luego pedir un rescate en bitcoins para obtener la clave de descifrado. Al cifrar los archivos de la víctima, el ransomware añadirá la extensión .WCRY y .WNCRY a los archivos cifrados. WannaCry también creará una nota de rescate llamada @[email protected] y ejecutables que lanzan el descifrador llamado @[email protected]

Wannacry schaden

Los sistemas y servicios informáticos locales del NHS England se han visto afectados por “un presunto ciberataque nacional”, según los informes que han llegado esta tarde. Entre las zonas afectadas se encuentran Londres, Blackburn, Blackpool, Nottingham, Cumbria y Hertfordshire.

En Blackpool, por ejemplo, los sistemas telefónicos e informáticos utilizados por los médicos de cabecera han quedado fuera de servicio y los médicos han tenido que recurrir al lápiz y al papel. También los teléfonos y los sistemas informáticos del East and North Hertfordshire NHS Trust están fuera de servicio. Más preocupantes aún son los informes de que se ha pedido a la gente que no acuda a los servicios de urgencias de los hospitales de las dos regiones afectadas mencionadas. Estoy seguro de que la mayoría de la gente preferiría no ir a A&E, pero simplemente se ve obligada a hacerlo debido a la emergencia… Ordenadores trabajando o no.

En un comunicado publicado hace unos minutos por NHS Digital, se dice que las investigaciones iniciales apuntan al malware Wanna Decryptor Ransomware. El organismo no cree que se haya accedido a los datos de los pacientes ni que se hayan robado. De hecho, el modus operandi de Wanna Decryptor es cifrar tus documentos y archivos y exigir dinero en efectivo para descifrarlos por ti.