martes, mayo 16, 2017

WannaCry: NoMoreCry Tool & Latch ARW

Mucho se ha dicho ya del ransomware WannaCry en los medios de comunicación. Mucho y muy confuso, por desgracia, pero lo que sí que es cierto es que WannaCry es un ransomware al uso que ha utilizado un vector de propagación muy virulento, por aprovecharse de una vulnerabilidad highly critical explotable por LAN sin interacción por parte del usuario, lo que que lo ha hecho más agresivo en su difusión. Eso sí lo ha hecho diferente, pues una vez se cuela dentro de una red local, su difusión es rápida y hay que ser expeditivo para detenerlo.

Figura 1: WannaCry. NoMoreCry Tool & Latch ARW

Lo cierto es que en las muestras que hemos podido ver, el ransomware no traía capacidades especiales antiforensics para detectar que estaba bajo análisis, técnicas de empaquetado y ofuscación avanzadas, ni protecciones contra el borrado extras. Su "éxito" ha sido sacar partido de un bug explotable remotamente sin interacción con el usuario en un servicio muy común en las redes de área local. Al estilo de viejos Conficker, Blaster o similares.

Figura 2: PoC de WannaCry y Latch ARW (Antiransomware)

Como ransomware no traía funciones especiales, así que con muchas de las soluciones antiransomware que existían en el mercado, cualquier persona infectada con este malware podría proteger sus documentos. En esta prueba de concepto puedes verlo funcionando con Latch ARW, nuestra solución para proteger documentos contra este tipo de ataques.
Todos los equipos que fueron infectados con WannaCry, pero que tenían sus documentos protegidos con Latch ARW no han perdido ningún archivo o información. Así que, para estar preparado para cualquier mutación posible, lo recomendable es que tengas tus carpetas protegidas previamente, y te ahorrarás lamentaciones. Aquí puedes ver cómo funciona con otras muestras de ransomware.


Figura 4: Latch ARW funcionado con Crytolocker

Si te has visto afectado por este ransomware y has perdido algún documento, lo siguiente que puedes hacer es buscar los lugares donde puedas tener copias de los archivos que has perdido. Desde el correo electrónico, hasta las Shadow Copies, pasando por las papeleras de reciclaje de las carpetas sincronizadas con discos en la nube, tipo One Drive o Dropbox

Figura 5: NoMoreCry Tool

Si vas a pinchar un backup en un disco duro externo, antes asegúrate de haber eliminado WannaCry con alguna solución tipo NoMoreCry y de haber actualizado los parches de seguridad de Microsoft para que no te vuelvan a explotar una vulnerabilidad similar.

Saludos Malignos!

17 comentarios:

Hugo LMDesigner dijo...

No soy usuario de Windows, pero sí que soy un apasionado de la seguridad. Estoy terminando mi graduado en Ingeniería Informática por la UDC especialidad TI y he visto todo lo que ha ocurrido desde otra perspectiva "¿más profesional?" (menos amarillista seguro).

Me hace gracia que cada vez que ocurre algo, parece que todo el mundo se convierte en especialista e intenta echar abajo la carrera de alguien sin tener la menor idea. Lo fácil es hacer eso. Lo difícil es seguir trabajando para que estas cosas ocurran cada vez menos o al menos contemos con mejores herramientas para combatirlas. Hace falta mucho trabajo de concienciación social, que seguimos descargando archivos adjuntos como posesos jeje

A ver cuándo te volvemos a ver por Coruña dando unas lecciones ;)

Saludos!

Madeja dijo...

Por qué pone queque hasque hecho esta entrada en el blog el 16 de mayo, si aun 15?😐

JGeek00 dijo...

Yo me he instalado el anti ramson V3. No se como de eficaz será. De todas formas wanacrypt a mi no me afecta porque mi Windows 7 llevaba 1 mes con el parche de seguridad de marzo (el que corregía el bug) instalado

Western Arpa dijo...

Un poquito de SPAM ee Chema ;) Jaja como sabe

Estaría bien explicases de que se trata la puerta trasera con el dominio del WannaCry, el lio este del que se está hablando que ha descubierto un chaval de 22 años.

Ariel Di Giorno dijo...

Que lastima que en telefónica no aceptaron usar latch.
Podrías habérselo recomendado como asesor externo de la seguridad de dicha compañía. Tienen buenas ideas ustedes,solo resta llevarlas a cabo! 😚😗

Un abrazo!

blog dijo...

ayylmao

https://www.wired.com/2017/05/wannacry-ransomware-hackers-made-real-amateur-mistakes

horterator dijo...

Tengo una duda, en tu articulo pones " puedes hacer es buscar los lugares donde puedas tener copias de los archivos que has perdido. Desde el correo electrónico, hasta las Shadow Copies, pasando por las papeleras de reciclaje de las carpetas sincronizadas con discos en la nube, tipo One Drive o Dropbox."

Si es tan virulento como el cryptolocker tener un one drive, google drive o dropbox con carpetas compartidas ¿no hace que se propague mas rapidamente como pasaba con el cryptolocker? Pude ver como una carpeta compartida de dropbox infectada con el cryptolocker infecto a mas de un equipo...

kikos dijo...

hola.chema he seguido con atención todo lo publicado estos dias.lo único que sigo sin entender, cual ha sido la solución al final.se supone que el parche de actualización ya existia y no se instalo porque no se podía probar que pudiese afectar negativamente al otros sistemas o procesos.acaso lo han probado en 48 horas lo que se pudo probar en dos meses.un saludo y es simple curiosidad.gracias.

David dijo...

Hola.
Vamos a olvidarnos de parches de Marzo... de Microsoft y de que ya se conocía el bug, blalalalal.

Partiendo de la base que WannaCry es un malware que cifra los datos del ordenador y ya esta, como muchos ransomware que llevan años, esto no es de ayer esto es de hace varios años. Lo único novedoso que ultilizaba el malware es su propagación por la red(LAN) ultilizando una vulnerabilidad SMB, y ya ta, no hay que dar mas importancia. Si tienes tus datos protegidos, pues bueno, ha entrado el malware se limpia y tengo mis datos otra vez. "El malware no consigue su objetivo, que es secuestrar los datos".

En el caso de telefónica, si ha a sido infectada (Y fue la que dio la voz de alarma. Para que otras empresas, no fueran infectadas.) Pero los datos de telefónica nunca estuvieron comprometidos, el malware no ha conseguido su objetivo. Se ha infectado y ya ta, se limpia y a correr.

El tipo de malware ya se conocían de hace años y seguirán habiendo mas, y sobretodo con la publicidad de la prensa. Por eso hay que proteger los datos siempre y no el sistema(Siempre con los conocimientos que se tenga en cada caso). El sistema en 2 horas esta restaurado, los datos no.

Hablando del parche.
Yo como responsable de seguridad y desarrollo de una empresa pequeñita, conozco muy bien lo que supone instalar un parche de seguridad en una maquina u otra. Ya que hay varios factores, que un periodista desconocen, digo periodista por decir algo. Os voy explicar esto breve mente.

Cuando se desarrolla un software para que se ejecute en una maquina determinada o en varias, ese software puede o no utilizar librerías, bibliotecas del sistema (Llamadas dll), si el parche me modifica esa DLL, es probable o hay algún riesgo de que deje de funcionar la aplicación. Entonces hay que estudiar los riesgos que me lleva a instalar ese parche y digo que puede ser mas de un año.

Mi opinión sobre esto, es que no, no, no ha sido un CiberAtaque como dice la prensa. Simplemente a sido un malware que se ha colado.

A lo mejor es un tío de Albacete y la prensa dice china y Guerra Cibernetica. Llevamos muchos años en guerra Cibernetica.

Saludos a todos.

Cito por si puede ser de ayuda.

horterator dijo...
Si es tan virulento como el cryptolocker tener un one drive, google drive o dropbox con carpetas compartidas ¿no hace que se propague mas rapidamente como pasaba con el cryptolocker? Pude ver como una carpeta compartida de dropbox infectada con el cryptolocker infecto a mas de un equipo...


Esas plataformas suelen tener control de versiones en cada archivo, entonces si se sube un archivo cifrado, puedes retroceder a la versión anterior.

Saludos




Marcos Gonzalez dijo...

Hola chema. Mis preguntas son las siguientes:
¿EN MAQUINAS VIRTUALES ES NECESARIO INSTALAR EL PARCHE? Es decir. Si tenemos como sistema operativo windows 7 y en nuestra maquina virtual hemos instalado Windows 10 y xp. ¿Es necesario instalar a ambos sus respectivos parches?.
Me surge esta duda porque al realizar el comando net view en windows 7 y tener la maquina activa con los dos sistemas operativos en marcha por motivos de trabajo. W7 me dice que ve 3 equipos en la red, que se corresponden. Ya que hago ping hacia ellos. La maquina esta en modo bridge para la tarjeta de red. ¿PODRÍAN INFECTARSE ESAS PARTICIONES SI NO ESTÁN PARCHEADAS? o simplemente con instalar en el sistema principal es suficiente.
Gracias y espero haberme expresado adecuadamente.
Un saludo.

David dijo...

Hola, tienes que poner el parche en las máquinas también.

Cacer dijo...

Respondiendo a Marcos y desde una vista profana de seguridad pero menos de sistemas, decirte que si. Tienes que aplicar el parche en las virtualizaciones, ya que de cara a la red, que es el medio de propagación, esas virtualizaciones son maquinas independientes con la capacidad de ser infectadas.

Nelson Pereira dijo...

El Salvador no ha tenido nada de WannaCry. Jeje

u2iano dijo...

Buenos días a todos, en la publicación Chema comenta en el último párrafo... "Si vas a pinchar un backup en un disco duro externo, antes asegúrate de haber eliminado WannaCry con alguna solución tipo NoMoreCry y de haber actualizado los parches de seguridad de Microsoft para que no te vuelvan a explotar una vulnerabilidad similar."

En el correo del CCN-CERT del pasado lunes en el que habla de NoMoreCry indica.. "El CCN-CERT ha actualizado su herramienta desarrollada para prevenir la infección por el código dañino WannaCry 2.0. Se trata de "CCN-CERT NoMoreCry Tool", una aplicación que impide la ejecución del malware antes de que el equipo esté infectado (la herramienta no es útil en el caso de que la máquina esté infectada)".

Es decir, que NoMoreCry sólo funciona antes de la infección, a modo de prevención. Si estás ya infectado, no te vale.

Quizás me he perdido alguna actualización posterior, publicación, o simplemente esté equivocado. Pero por que lo tengáis en cuenta.

Gracias!!!

one dijo...

Hola

Lamentablemente Latch AWR no protege ni Google Drive ni carpetas en red montadas como unidad virtual.

Ojalá esté en próximas versiones.
Gracias

Jcomin dijo...

Microsoft a veces falla al arreglar un fallo y el parche hace que algo deje de funcionar. Pero el no aplicar parches siguiendo el lema de "si algo funciona no lo toques" no me parece la mejor política. Que yo recuerde un cambio en servicio de escritorio remoto hizo que una aplicación de terceros fallase y no se pudiese conectar. También hace un par de años al actualizar windows update dejaba de funcionar. Pero no eran actualizaciones críticas y se podía esperar tiempo en aplicarlas. Pero una vulnerabilidad crítica como la del SMB hay que darle más prioridad y tener una política de actualización y prueba que la mayoría de la empresas no hace.

Akira Nakamure dijo...

te entiendo ya conocíamos este problema pero no podíamos actualizar estábamos en pruebas ya que muchas aplicaciones chocaba o debían detenerse y solo mandamos actualizaciones cada cierto tiempo por el ancho de banda tuvimos que usar la medida cavernicola lanzamos la politica por dominio a 155k equipos cuando nos enteramos de esto sin completar pruebas de igual forma ya habíamos implementado un plan en caso de unos de estos ataques se inicia un proceso para frenarlo a costo de reducir la eficiencia de los equipos al utilizar un cifrado y evitar la escritura de ciertos eventos. la verdad uno nunca sabe cuando o donde podrían atacar.

Entrada destacada

El creador de WannaCry es fan de Messi, no es muy ambicioso y usa Microsoft Word habitualmente en coreano

Esta semana, nuestros compañeros del laboratorio de ElevenPaths terminaban por publicar su análisis de WannaCry desde el punto de vista d...

Entradas populares