Wanna Cry es un ransomware, una evolución de lo que podría ser CryptoLocker. Es un tipo de virus, del formato troyano, con la capacidad de introducirse en nuestro equipo explotando una vulnerabilidad de software.
El ransomware tiene como objetivo cifrar o encriptar los archivos del equipo infectado para pedir un rescate vía BitCoins. Para que el proceso de encriptación sea más rápido solo encripta aquellos ficheros más críticos del usuario (doc, jpg, pdf) evitando encriptar archivos del sistema, para mayor velocidad.
La misión de Wanna Cry no es eliminar ni robar datos, sino encriptar tus datos personales y pedir un rescate si quieres recuperarlos. En este caso Wanna Cry pide unos 300$ en BitCoins por cada ordenador infectado.
¿Pero qué es la encriptación?
Encriptar o cifrar una información es ocultar un mensaje o archivo con una contraseña.
Desde un punto de vista informático consiste en aplicar un algoritmo asociado a una o varias contraseñas (claves), que convierte la información en una cadena de letras, números y símbolos sin sentido.
Para poder entender o abrir el archivo se requiere ingresar la clave que se utilizó para encriptarlo.
Para poder entender o abrir el archivo se requiere ingresar la clave que se utilizó para encriptarlo.
¿Cómo funciona Wanna Cry?
El esquema de funcionamiento del ataque de Wanna Cry:
Infección: Spam masivo a direcciones de correo electrónico con un enlace de descarga del "dropper" (programa que descarga el "payload") o explotación de servicio vulnerable expuesto a Internet o conexión de equipo infectado a la red local.
Cuando se descarga el archivo adjunto (dropper) se infecta el equipo con Wanna Cry.
Propagación: Desde el ordenador infectado se rastrea la red LAN en busca de equipos con la vulnerabilidad "MS17-10" para propagar la infección.
¿Cómo podemos evitar una infección por Cryptolocker?
Wanna Cry entra en nuestro ordenador a través de nuestro gestor de correos, oculto en e-mails de índole sospechosa.
Por lo tanto, evitar abrir correos de origen desconocido, con archivos adjuntos.
También es recomendable realizar los siguientes pasos:
Actualizar todos los ordenadores con los últimos parches de seguridad de Windows.
No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos.
Precaución al hacer clic en enlaces de correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
Instalar herramientas antivirus/antimalware y activar el firewall.
Tener copias de seguridad externalizadas de nuestra información, ya que las copias de seguridad dentro del propio ordenador pueden verse también afectadas.
Si el equipo está en red y comparte una unidad con otro equipo, desconectar rápidamente el ordenador de la red, para impedir una propagación rápida del virus.
¿Puedo recuperar los datos encriptados? ¿Pago el “rescate”?
Los datos son practicamente indescrifables sin la clave de encriptación
Nunca pague por la clave de desencriptación, nada asegura que nos la envien y estará motivando y promoviendo a los creadores de estos virus.