Wanna Decryptor fue observado por primera vez el 12 de mayo del 2017, causando una máxima propagation en mas de 150 países y a su vez logrando contagiar a más 250 mil Windows vulnerables. Wanna Decryptor es una amenaza como Ransonware ya que encripta los archivos del equipo vulnerado en busca de un pago de $300 dólares.
Entre los países que cuentan con mayor número de infecciones es en Rusia e India esta amenaza afecta una vulnerabilidad critica que fue reportada por Microsoft desde el 14 de marzo de 2017 a través de su boletín de seguridad MS17-010 en donde este boletín les está reportando la debilidad de un servicio que SMB en su versión 1.0 este servicio que se utiliza para compartir archivos, impresoras y entre otros, afectando numerosas versiones del sistema operativos Windows entre ellas las que destacan:
- Windows vista
- Windows 2008
- XP
- Windows 7
- Windows 8.1
- Windows 12
- Windows 10
- Windows server 2016
Contents
¿Cuál es el método de infección de Wanna Cry?
Wanna Cry se ha propagado en la internet a través de correos de fishing con archivos adjuntos que contienen estos seguros maliciosos los cuales una vez que logran vulnerar el perímetro de la organización ejecutan un moviendo lateral una vez que este gusano se ha logrado activar ya sea por la red de usuarios o bien en la red del data center o red de escritorios virtualizados una vez que precisamente este gusano ya está en el interior empieza hacer un escaneo de puertos, utilizando puerto 445 buscando equipos que tengan un puerto abierto empieza a intentar infectarlos precisamente propagándose de manera lateral, una vez que identifica que un equipo pueda tener un puerto abierto ejecuta un emploi contagia todo y hace imposible la recuperación de los archivos, posteriormente busca propagarse a otros equipos vulnerables y es a lo que se le conoce como movimiento lateral.
¿Como puede ayudar VMWare y NSX?
VMware y NSX ayuda en la detección, monitoreo y bloqueo del malware con herramientas nativas como Endpoint Monitoring así como con la integración con partners de seguridad y las mejores prácticas para evitar ser infectado por este gusano.
¿Cómo se puede Prevenir?
Se recomienda realizar el respaldo de la información así como también evitar archivos o correos de dudosa procedencia sobre todo los que tienen archivos adjuntos en el caso de ser posible deshabilitar el servicio SMB versión 1.0 así como la funcionalidad de File Sharing si es que no es necesario sobre todo en ambientes de escritorio virtuales, aplicar los Security Update de Microsoft.
Llámanos para obtener seguridad en tu empresa