Virus Wanna cry - Locky

 
Este virus es un tipo de ransomware que cifra los archivos del usuario y que recientemente atacó a miles de computadoras, especialmente en empresas y entidades, logrando secuestrar información y solicitando un rescate en pago de dinero electrónico (bitcoin).
 
¿Cómo se infectan los equipos?
Las personas reciben un correo electrónico con un archivo adjunto, el cual abren desprevenidamente (puede ser una foto, un video o un archivo infectados) y le permite al programa malicioso activarse o tiene expuesto a internet la vulnerabilidad asociada con el SMB.
¿Cómo funciona Wanna cry?
Wanna cry encripta una gran cantidad de archivos, se pasa a otro equipo de la red de la empresa que sea vulnerable, siempre y cuando el equipo infectado tenga acceso a este último. También infecta memorias y discos duros extraíbles USB.
El virus usa el exploit ETERNALBLUE, cuya vulnerabilidad fue parchada por Microsoft en su security update MS17-010 liberada el 14 de marzo del 2017.
 
Recomendaciones de seguridad para prevenir la propagación del virus Wanna cry
Es recomendable verificar la existencia del parche en el security update del sistemas operativo de Microsoft® Windows, por ejemplo, el correspondiente a Windows 7 sería KB4012212 o KB4012212.
 
  • Si las actualizaciones no están instaladas se pueden bajar del sitio oficial de Microsoft.
  • Para sistemas operativos antiguos (Windows XP, Windows Server 2003 R2), Microsoft® liberó parches especiales.
  • Es necesario buscar las actualizaciones de Windows disponibles para nuestros equipos e instalar todas las actualizaciones de seguridad y sistema.
 
Firewall y puertos Wanna cry
De acuerdo con reportes de empresas antivirus, Wanna cry ingresa a través de puertos SMB (Server Message Block). Se pueden bloquear estos puertos con el Firewall ya que la mayoría de los usuarios no los utiliza. Se recomienda cerrar los puertos 445, 135, 137, 138, 139.
Deshabilitar SMBv1
La vulnerabilidad puede ser cerrada completamente quitando la funcionalidad de SMBv1.
Ejecuta el siguiente comando como Administrador en cada uno de tus equipos:
1. Ingresa a la línea de comandos de Windows, desde inicio teclea cmd.exe y presiona Enter.
2. Teclea la siguiente linea de comandos:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
 
Para mayor referencia consulta aquí información oficial de Microsoft®.
 
Virus Locky
Este virus es una variante de ransomware que cifra los archivos del usuario, y que se ha propagado rápidamente desde su aparición a mediados de febrero del 2016. El mayor riesgo radica en la fortaleza de su cifrado y principalmente en las campañas masivas de spam, así como los sitios comprometidos que se utilizan para su propagación.
 
Como rasgo distintivo, locky cifra los archivos del usuario y les agrega la extensión .locky