El virus de encriptación WannaCrypt (SOLUCION?)

El 12 de mayo 2017 detecta un nuevo ransomware que se extiende como un gusano mediante el aprovechamiento de las vulnerabilidades que han sido fijados previamente. Mientras que las actualizaciones de seguridad se aplican de forma automática en la mayoría de los ordenadores, algunos usuarios y empresas pueden retrasar el despliegue de parches. Por desgracia, el ransomware, conocido como WannaCrypt , parece tener los equipos afectados que no hayan aplicado el parche para estas vulnerabilidades. Mientras que el ataque se está desarrollando, recordamos a los usuarios instalar MS17-010 si no lo han hecho ya.

Hay dos escenarios que creemos que son altamente posibles explicaciones para la propagación de este ransomware:

Llegada a través de correos electrónicos de ingeniería social diseñadas para engañar a los usuarios para ejecutar el software malicioso y activar la propagación del gusano.

Infección a través de SMB (protocolo de mensajería del equipo) a través de otras máquinas infectadas.

Microsoft ha sacado varios parches para sistemas desactualizados como XP y windows 8, sim embargo, un windows 7 actualizado, no necesita ESTOS PARCHES (DESCARGAR AQUI)


COMO FUNCIONA:

El componente ransomware es un gotero que contiene un archivo .zip protegido por contraseña en su sección de recursos. La rutina de cifrado de documentos y los ficheros del archivo .zip contienen herramientas de apoyo, una herramienta de descifrado, y el mensaje de rescate. En las muestras que analizamos, la contraseña para el archivo .zip es “WNcry @ 2ol7”.

Cuando se ejecuta, WannaCrypt crea las siguientes claves del registro:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ <cadena aleatoria> = “<directorio de trabajo de malware> \ tasksche.exe”
HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “<directorio de trabajo de malware>”
Cambia el fondo de pantalla a un mensaje de rescate mediante la modificación de la clave del Registro siguiente:

Panel HKCU \ Control \ Desktop \ Fondo: “<directorio de trabajo de malware> \ @ @ WanaDecryptor .bmp”
Se crea los siguientes archivos en el directorio de trabajo del malware:

00000000.eky
00000000.pky
00000000.res
274901494632976.bat
@ Please_Read_Me @ .txt
@ @ WanaDecryptor .bmp
@ @ WanaDecryptor .exe
b.wnry
c.wnry
f.wnry
m.vbs
msg \ m_bulgarian.wnry
msg \ m_chinese (simplificado) .wnry
msg \ m_chinese (tradicional) .wnry
msg \ m_croatian.wnry
msg \ m_czech.wnry
msg \ m_danish.wnry
msg \ m_dutch.wnry
msg \ m_english.wnry
msg \ m_filipino.wnry
msg \ m_finnish.wnry
msg \ m_french.wnry
msg \ m_german.wnry
msg \ m_greek.wnry
msg \ m_indonesian.wnry
msg \ m_italian.wnry
msg \ m_japanese.wnry
msg \ m_korean.wnry
msg \ m_latvian.wnry
msg \ m_norwegian.wnry
msg \ m_polish.wnry
msg \ m_portuguese.wnry
msg \ m_romanian.wnry
msg \ m_russian.wnry
msg \ m_slovak.wnry
msg \ m_spanish.wnry
msg \ m_swedish.wnry
msg \ m_turkish.wnry
msg \ m_vietnamese.wnry
r.wnry
s.wnry
t.wnry
TaskData \ Tor \ libeay32.dll
TaskData \ Tor \ libevent-2-0-5.dll
TaskData \ Tor \ libevent_core-2-0-5.dll
TaskData \ Tor \ libevent_extra-2-0-5.dll
TaskData \ Tor \ libgcc_s_sjlj-1.dll
TaskData \ Tor \ libssp-0.dll
TaskData \ Tor \ ssleay32.dll
TaskData \ Tor \ taskhsvc.exe
TaskData \ Tor \ tor.exe
TaskData \ Tor \ zlib1.dll
taskdl.exe
taskse.exe
u.wnry
WannaCrypt también puede crear los siguientes archivos:

% SystemRoot% \ tasksche.exe
% SystemDrive% \ Intel \ <nombre del directorio al azar> \ tasksche.exe
% ProgramData% \ <nombre del directorio al azar> \ tasksche.exe
Se puede crear un servicio de nombre aleatorio que tiene la siguiente ImagePath asociada: “cmd.exe / c‘<directorio de trabajo de malware> \ tasksche.exe’” .

A continuación, busca en todo el equipo para cualquier archivo con cualquiera de las siguientes extensiones de nombre de archivo: 0.123, .jpeg, .rb, 0.602, .jpg, .rtf, .doc, Js, .sch, .3dm, .jsp , .sh, .3 ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln,. aes, .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm, .mkv, .std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp , .mpg, .sxc, .brd, .msg, .sxd, .bz2, .MYD, .sxi, .c, .MYI, .sxm, .cgm, .nef, .sxw, .class, .odb,. alquitrán, .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt .ods, .tif, Cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv, .ost, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der”, .ott, .vcd, .dif, p.12,. VDI, .dip, .PAQ, vmdk, .djvu, .pas, .vmx, .docb, .pdf, vob, .docm, .pem, .vsd, .docx, .pfx, .vsd x, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, Fla, .ppam, .xlc, Flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt .xlsm , .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .PSD, .xltx, .iso, .pst, .xlw, .jar,. rar, zip, .java, .raw.

WannaCrypt cifra todos los archivos que encuentre y les cambia el nombre añadiendo .WNCRY al nombre del archivo. Por ejemplo, si un archivo se llama picture.jpg , el ransomware cifra y cambia el nombre del archivo a picture.jpg.WNCRY .

Este ransomware también crea el archivo @ Please_Read_Me @ .txt en cada carpeta en la que se cifran los archivos. El archivo contiene el mismo mensaje de rescate se muestra la imagen de fondo sustituido en (ver imagen abajo).

Después de completar el proceso de cifrado, el malware elimina las instantáneas de volumen ejecutando el siguiente comando:

cmd.exe / c vssadmin eliminar sombras / todas / ShadowCopy tranquila y wmic borrar y bcdedit / set {default} bootstatuspolicy ignoreallfailures y bcdedit / set {default} recoveryenabled sin borrar y wbadmin catálogo -quiet

A continuación, reemplaza la imagen de fondo de escritorio con un mensaje.


También se ejecuta un archivo ejecutable que muestra una nota de rescate que indica un rescate $ 300 en bitcoins, así como un temporizador


El texto está traducido a los siguientes idiomas: búlgaro, chino (simplificado), chino (tradicional), croata, checo, danés, holandés, Inglés, filipina, finlandés, francés, alemán, griego, indonesio, italiano, japonés, coreano, letón , noruego, polaco, portugués, rumano, ruso, eslovaco, español, sueco, turco y vietnamita.

El ransomware también demuestra la capacidad de descifrado, permitiendo al usuario para descifrar unos archivos al azar, de forma gratuita. A continuación, recuerda rápidamente al usuario a pagar el rescate para descifrar todos los archivos restantes.



Articulo detallado: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/