Wanna Cry

La creación de este virus fue posible gracias a los exploits desarrollados por la NSA que fueron robados de sus servidores y hechos públicos.

El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima usando correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad , etc.

Si la víctima abre el fichero  que normalmente se adjunta los emails, se activa un JavaScript que hace que se instale el malware para que el atacante lo active cuando lo considere oportuno.

Este ransomware para expandirse usa un gusano que contiene y ejecuta el ransomware este gusano usa la vulnerabilidad EternalBlue de SMB.

Este es el mapa con las infecciones detectadas en las ultimas 24 horas

El virus primero intenta conectarse a www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com y si existe el virus no se ejecuta.Eso solo ocurre en versiones actuales , en versiones posteriores podría llevar otro método de apagado o no llevar ninguno.

Si el servicio se ejecuta con menos de dos argumentos instala un servicio llamado mssecsvc2.0 yo lo ejecuta.El servicio ejecuta el virus usando 2 argumentos .

Despues de iniciarlo se crean 2 hilos de ejecucion. El primer hilo escanea dispositivos vulnerables en la red local.

El segundo hilo se crea 128 veces y escanea dispositivos vulnerables en Internet. El hilo que escanea en local intenta conectarse al puerto 445, y si se conecta crea un nuevo hilo para afectar al sistema usando la vulnerabilidad EternalBlue , este nuevo hilo lo intenta durante 10 minutos y después se cierra.El hilo que escanea en Internet intenta conectarse al puerto 445 y si lo consigue escanea todo el rango /24 de esa IP y ejecuta el exploit en las que hayan permitido la conexión al puerto 445 , el exploit lo ejecuta una vez tras otra hasta que funciona o hasta que pasa 1 hora.Si detecta que es posible  usar la vulnerabilidad doublepulsar.

Fuentes : https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Los expertos buscan reducir los efectos secundarios del ciberataque “WannaCry”

Alive Systems