Hemos observado un gran pico en ransomware Wana Decryprt0r 2.0 (también conocido como WannaCry) ataques de hoy, con más de 57.000 detecciones, hasta ahora. Según nuestros datos, el ransomware está dirigido principalmente a Rusia, Ucrania y Taiwán, pero el ransomware ha infectado con éxito importantes instituciones, como hospitales de toda Inglaterra y la compañía española de telecomunicaciones, Telefónica.
A continuación se muestra un mapa que muestra los países que son los más afectados por WanaCrpytor 2.0:
Vimos la primera versión de WannaCry en febrero y ahora el ransomware está disponible en 28 idiomas diferentes, desde idiomas como el ruso al chino.
El ransomware cambia los nombres de extensión de archivo afectados a “.WNCRY”, por lo que un archivo infectado se verá como: nombre_original_de_archivo.jpg.WNCRY, por ejemplo. Los archivos cifrados también están marcados por la cadena ¡”WANACRY!” Al principio del archivo.
Este ransomware descarta las siguientes notas de rescate en un archivo de texto:
Además, el rescate que se exige es $ 300 de bitcoins. El mensaje de rescate, en el que se muestran instrucciones sobre cómo pagar el rescate, una explicación de lo ocurrido y un temporizador de cuenta regresiva en lo que los ciberdelincuentes detrás del ransomware se refieren como “Wana Decrypt0r 2.0”:
Además, el fondo de pantalla de la víctima se cambia a la siguiente imagen:
Este ataque demuestra una vez más que el ransomware es un poderoso arma que puede utilizarse contra los consumidores y las empresas por igual. Ransomware se vuelve particularmente desagradable cuando infecta instituciones como hospitales, donde puede poner la vida de las personas en peligro.
Infección vectorial: WannaCry
WannaCry es más probable que se extienda en tantos ordenadores utilizando un exploit de Equation Group, que es un grupo que es ampliamente sospechoso de estar atado a la NSA, utilizado para su negocio sucio. Un grupo de hackers llamado ShadowBrokers ha robado las herramientas de hackeo de Equation Group y las ha puesto en libertad públicamente. Según lo confirmado por el investigador de seguridad Kafeine, el exploit, conocido como ETERNALBLUE o MS17-010, fue probablemente utilizado por los ciberdelincuentes detrás de WanaCrypt0r y es una vulnerabilidad de SMB (Server Message Block, un protocolo de intercambio de archivos de red).
Soft2Secure detecta todas las versiones conocidas de WannaCry, pero recomendamos que todos los usuarios de Windows actualicen completamente su sistema con los últimos parches disponibles. Seguiremos monitoreando este brote y actualizando esta entrada del blog cuando tengamos más actualizaciones.
Medidas defensivas
Recomendamos a empresas e individuos:
- Realice copias de seguridad regularmente y guarde una copia de seguridad reciente fuera del sitio. Cifre su copia de seguridad y no tendrá que preocuparse de que el dispositivo de copia de seguridad pueda caer en las manos equivocadas.
- Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones se basan en el dilema de que no debe abrir un documento hasta que esté seguro de que es uno que desea, pero no se puede saber si es uno que desea hasta que lo abra. En caso de duda, déjelo fuera.
- Utilice software anti-malware confiable, que detenga el ransomware al bloquear el cifrado no autorizado de archivos.
¿Cómo remover del ransomware WannaCry?
Eliminación automática del virus con la extensión .WNCRY
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar los archivos .WNCRY cifrados
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware WannaCry crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Verificar si el ramsomware WannaCry ha sido eliminado completamente
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.