WannaCry es un ransomware que se propagó rápidamente en mayo de 2017. Después de infectar un computador con sistema operativo Windows, cifra todos los archivos en el disco duro del equipo, lo que imposibilita el acceso a la información y luego exige un pago de rescate en bitcoin para obtener la clave de descifrado.
Para demostrar el proceso de infección con el ransomware wannacry se toma una máquina virtual con sistema operativo Windows 7 SP2 32 bits, se parte del supuesto que la víctima ha recibido un correo electrónico donde se adjuntan unas fotografías en un archivo comprimido.
Figura 1. Estado inicial de la máquina víctima
En la siguiente imagen se puede evidenciar el estado inicial de los documentos que se encuentran almacenados en una carpeta dentro de la carpeta “mis documentos”.
Figura 2. Estado inicial de los archivos en mis documentos
A la víctima se le envía un email que contiene un archivo adjunto comprimido que supuestamente contiene varias fotos, como se puede evidenciar en la imagen el atacante hace creer que las fotos son de una situación comprometedora, lo que despierta la curiosidad en la persona que recibe el correo.
Figura 3. Mensaje de correo con el adjunto malicioso
Una vez la víctima ha descargado el archivo adjunto procede a descomprimirlo para así poder visualizar el contenido, en el mensaje de correo el atacante da unas indicaciones para que puedan ser visualizadas las fotografías, que evidentemente no existen, el fin es lograr que el usuario ejecute el .exe
Una vez se ha descomprimido el archivo dentro de la carpeta se encuentra un archivo ejecutable, el cual supuestamente es un programa que permitirá visualizar las fotografías.
Figura 5. Archivo ejecutable
Al ejecutar el archivo, automáticamente aparecen otros archivos en la misma carpeta, dentro de los cuales se encuentran la nota de rescate y las instrucciones para recuperar la información. Archivo Read_Me.
Al ingresar a la carpeta donde se encuentran los archivos personales, todos los documentos aparecen con la extensión .WNCRY
Esto no solamente en la carpeta que contiene los archivos del usuario, sino que también en otras carpetas, como: mis documentos o mis imágenes.
Posteriormente empieza a aparecer con frecuencia una ventana emergente que contiene en detalle las instrucciones para recuperar la información, en este caso el valor a pagar son 600 dólares en bitcoin.
En el archivo léeme, se dan las indicaciones a la victima sobre como puede recuperar el acceso a su información.
Cuando el usuario intenta abrir alguno de los archivos que están encriptados, simplemente el sistema operativo no encuentra programa que le permita acceder, puesto que han sido cifrados.
Como se menciona anteriormente el sistema operativo no puede abrir los archivos que terminan con la extensión .WNCRY lo que no deja muchas opciones a la víctima, ya que si son archivos con alto valor para el usuario o para una empresa, el impacto generado es muy alto.
Posteriormente, en el escritorio el fondo de pantalla es cambiado y aparece el siguiente mensaje:
Figura 13. Escritorio de Windows
La vulnerabilidad que WannaCry explota radica en la implementación de Windows del protocolo Server Message Block (SMB). Una vez que un sistema se infecta, el ransomware se propaga a través de la red, infectando otros dispositivos vulnerables, sin necesidad de la participación del usuario.
Fuente: @fredyavila
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios