Portada
mis comunidades
otras secciones
![Funcionamiento y análisis del ransomware WannaCry (incluye clave) [ENG]](https://cdn.mnmstatic.net/cache/2a/4d/media_thumb_2x-link-2772229.jpeg?1494702966)
#10:
#7 Es obvio. Dado que no hay UNA clave; se genera una al vuelo para cada infección y se envía a el/los responsable/s.
Si fuera una única, el algoritmo de cifrado sería muy vulnerable; caería en minutos con las suficientes muestras. Además, con que un infectado pagase el rescate y compartiese la clave ya nadie más tendría que pagar nada.
Si fuera una única, el algoritmo de cifrado sería muy vulnerable; caería en minutos con las suficientes muestras. Además, con que un infectado pagase el rescate y compartiese la clave ya nadie más tendría que pagar nada.
#7:
La clave a la que se refiere el titular es la de un zip que contiene el código malicioso y no parece que sea la clave para descifrar los datos, la cual es la realmente relevante.
#31:
Voy a explicar una anécdota: hace años mi padre encontró un Panasonic Toughbook en un taller que acababa de cerrar. Esos portátiles se usaban en trabajos duros (minería por ejemplo) dada su elevada resistencia a los golpes, polvo, etc y seguridad en caso de robo. Intentando usarlo vi que por seguridad ese ordenador cifraba el disco duro en caso de robo, y ya venía cifrado cuando lo trajo.
Noob de mi, le pedí a la empresa de informática de un conocido que me dejara un disco duro de 2,5" cuando estos todavía eran muy caros para hacer unas pruebas, y tal y como lo metí en el portátil me lo cifró y me lo dejó inutilizado. Me quería morir.
Encontré por los bajísimos fondos de internet una web de un tío que me dijo que me lo desbloquearía por 50€. No sabía si jugarmela o no, pero al final me la jugué, porque era pagar esos 50 los 300€ del disco (o ambas cosas en el peor de los casos).
El tío de la web me envió un programa, me pidió unos datos, me mandó una clave y efectivamente el programa lo descifró y pude devolver el disco duro (sin contar lo sucedido). No he vuelto a tocar ese portátil que conservo en el altillo. Le tengo miedo.
No es para mucho, pero estos días me acuerdo mucho de esta historia con lo del wanacry y quería contarla.
Noob de mi, le pedí a la empresa de informática de un conocido que me dejara un disco duro de 2,5" cuando estos todavía eran muy caros para hacer unas pruebas, y tal y como lo metí en el portátil me lo cifró y me lo dejó inutilizado. Me quería morir.
Encontré por los bajísimos fondos de internet una web de un tío que me dijo que me lo desbloquearía por 50€. No sabía si jugarmela o no, pero al final me la jugué, porque era pagar esos 50 los 300€ del disco (o ambas cosas en el peor de los casos).
El tío de la web me envió un programa, me pidió unos datos, me mandó una clave y efectivamente el programa lo descifró y pude devolver el disco duro (sin contar lo sucedido). No he vuelto a tocar ese portátil que conservo en el altillo. Le tengo miedo.
No es para mucho, pero estos días me acuerdo mucho de esta historia con lo del wanacry y quería contarla.
#2:
#1 Por mi ok, incluso me suena mejor como contracción de "want to", pero como lo veo escrito en cada sitio de una manera lo he puesto así
editado:
incluso el propio ransomware lo tiene con una "n" en su pantalla (barra de título):
Veo que esta semana toca ser expertos en criptografía.
#25:
Otra cosa graciosa es que muchos usuarios que no entienden lo que ejecutan, van a saber hacer un ingreso en bitcoins... Este ransomware falla en usabilidad, habrá infectado mucho, pero muy poca gente sabrá como pagar.
Comentarios
La clave a la que se refiere el titular es la de un zip que contiene el código malicioso y no parece que sea la clave para descifrar los datos, la cual es la realmente relevante.
#7 Es obvio. Dado que no hay UNA clave; se genera una al vuelo para cada infección y se envía a el/los responsable/s.
Si fuera una única, el algoritmo de cifrado sería muy vulnerable; caería en minutos con las suficientes muestras. Además, con que un infectado pagase el rescate y compartiese la clave ya nadie más tendría que pagar nada.
#10 caería en minutos con las suficientes muestras
Veo que esta semana toca ser expertos en criptografía.
#12 Pues algo tirando a mucho sé
#14 Trabajas en seguridad?
#22 ¿Ser un cuñado vale?
#18 No he mirado demasiado, pero viendo capturas en google imágenes veo montones de direcciones bitcoin únicas.
#21 Sólo un niño o alguien que no tiene ni idea de lo que está haciendo diseñaría un cifrado así para un secuestro de archivos. En cuyo caso, no creo que llegase a tener ninguna relevancia. Evitando entrar en detalles técnicos, introducir una clave maestra en un algoritmo arbitrario lleva a muchos problemas; matemáticamente tienen que cumplir una serie de requisitos para ser lo suficientemente garantistas (hay excepciones, como podrían ser las claves privadas en cifrados asímetricos y en general, cualquiera que pueda ser una función trampa: https://es.wikipedia.org/wiki/Funci%C3%B3n_trampa) y que en el caso de "clientes" que necesitan claves únicas que generan ellos mismos y olvidan generan características que añaden debilidad extra cuando se tiene en cuenta el sistema completo (estado inicial, algoritmo, estado final); pero eso es otra historia.
#22 Ahora no. Aunque la codificación de información no sólo esta relacionada con la seguridad (ni la seguridad con la codificación).
#39 No entiendo bien tu pregunta
#40 quiero decir que WNcry@2ol7 me parece una clave muy obvia... Pero no soy experto en seguridad y probablemente esté diciendo alguna tontería
#46 Aah. Según decía #7 es la clave de un zip con el programa, no la clave para descifrar (que será distinta para cada pc o para cada red).
#66 Desde el momento que está publicada en el sub de nnetsec ("Seguridad informática"), se supone que los que lo ven saben mínimamente de qué va el tema. Échale un vistazo a los artículos subidos al sub para ver que la mayoría son muy técnicos para el usuario informático medio.
Como correctamente dice #10, no es lógico en modo alguno pensar que con una clave "fulera" de 10 caracteres vas a desencriptar TODOS los equipos que se han infectado. De hecho, la incluyo en la entradilla para que a primera vista ya quede patente lo débil que era la protección del ejecutable (no parece "serio" usar esa clave en este tipo de software).
El título ya especifica que el artículo versa sobre un análisis interno del funcionamiento del código, que va encriptado en memoria con la clave citada, por si alguien lo quiere probar en un sandbox para ver y probar lo que explica el artículo.
Si realmente fuese una "clave maestra" para desencriptar todo de todos, aparte de haberla publicado en el General y no en un sub, el titular sería algo así como "Descubierta clave que arregla todos los ordenadores encriptados con el ransomware". Lamento mucho que te hayan llevado a error el titular y la entradilla, aunque una lectura del artículo junto al contexte del sub te lo podría haber aclarado.
cc/ #11 #15 #48
#77 me parecía muy raro porque generalmente los cryptowares generan una clave distinta en cada máquina y la envían al C&C. Es la lectura del artículo lo que me lo ha aclarado. Aquí el que no ha leído el artículo es el que lo ha publicado.
#77 Gracias por la contestación. Personalmente no me ha llevado a error puesto que he estado siguiendo este tema por varios sitios (principalmente twitter y reddit) y ya sabía que no era la clave con la que se cifraban los archivos. Estoy seguro que no ha habido ninguna mala intención en la redacción de la entradilla y que como dices si el publico objetivo es gente con un conocimiento más profundo del tema ninguno ha entendido lo que no es. No obstante para los no versados (que tambien pueden ver la noticia aunque la publiques en un sub), es de lo más confuso. No costaba nada haber especificado "clave del ejecutable". En cambio solo poner "clave de desencriptado" para una noticia de un ransomeware del que la mayoría de los mortales solo saben que encripta archivos... quizás no ha sido lo mas idóneo.
#40 Sólo un niño o alguien que no tiene ni idea de lo que está haciendo diseñaría un cifrado así para un secuestro de archivos. En cuyo caso, no creo que llegase a tener ninguna relevancia.
El proceso de identificar el pago y transmitir la clave de descifrado no es trivial, supone una sobrecarga en el código y a su vez implica una complejidad añadida en las comunicaciones así como más fuentes de posibles riesgos ante rastreo, por lo que es perfectamente razonable crear un ransomware que ni permita intercambio de claves ni utilice cifrado asimétrico, el cual se base en engañar a la víctima para que pague sin que su pago tenga ninguna influencia en el desenlace, pero que si se produce el autor recibe una compensación en forma de bitcoins sin la complejidad del sistema de claves asimétricas ni los riesgos de mantener una comunicación con las víctimas ni que sea a través de la red Tor.
Y después tienes los que con una visión más a largo plazo deciden tener toda esa infraestructura añadida así como servicios de atención al cliente para que su negocio no sea efímero si no que se mantenga en el tiempo.
No se trata por lo tanto de ser un niño o no tener ni idea si no de enfoques comerciales distintos con una carga de gestión y riesgos distinta así como un potencial de retorno también distinto.
#40 No he mirado demasiado, pero viendo capturas en google imágenes veo montones de direcciones bitcoin únicas.
Quizá has buscado algo genérico como "ransomware" y has visto las direcciones de otros códigos maliciosos, yo acabo de mirar en Google Images con el térmnino WannaCry y he visto únicamente repetidas 3 direcciones, son estas:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Si realmente encuentras una distinta a esas asociada al WannaCry publica por favor el enlace de la captura y lo comentamos, en caso contrario sin duda hay que atribuirlo a una mala búsqueda por tu parte dada toda la información que ya hay en la red en ese sentido y que respalda la hipótesis de las 3 direcciones.
Como te indicaba todo apunta a un ransomware de calidad pésima en ese sentido y que por ese mismo motivo es muy posible que la clave de cifrado sea la misma para todos los equipos.
#14 entonces aprovecho para preguntarte. Esta clave de desencriptado es de las primeras que probaría cualquiera que supiera un poco del tema no?
#10 Este ransomware en concreto no parece muy coherente en tanto que por lo que parece reutiliza1 direcciones bitcoin para varias víctimas, los cual dificulta si no es que impide directamente al autor del código malicioso conocer quién ha pagado y quién no de entre sus víctimas.
Es muy posible que ni pagando se descifren los datos y también podría ser que por ese mismo motivo reutilizase la misma clave de cifrado para todas las víctimas.
Añado que no son pocos los ransomwares de los cuales se conocen las claves o herramientas para descifrar los datos: https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys/
1 https://www.forbes.com/sites/thomasbrewster/2017/05/13/wannacry-ransomware-outbreak-stopped-by-researcher/#7be24baf74fc
#13 No sé si es una versión diferente más actual, pero al menos una versión anterior lleva ya años circulando con gente que ha pagado y ha recuperado los archivos con éxito. No tengo detalles porque no he estudiado el tema, si es como dices entonces bastaría con encontrar a alguien con la misma dirección bitcoin que tú.
#16 Hay versiones de ransomware para dar y regalar y efectivamente muchos si no casi todos actúan profesionalmente para que su negocio no tenga mala fama, para que la gente decida pagar con cierta seguridad de que podrá recuperar su datos.
No parece ser el caso de este en concreto.
si es como dices entonces bastaría con encontrar a alguien con la misma dirección bitcoin que tú.
Indican que solo hay 3 direcciones bitcoin codificadas, en cualquier caso eso no es suficiente si no que alguien tiene que separar el código de descifrado del resto de código malicioso y crear una herramienta que ejecute ese código. No es trivial hacerlo, aunque dada la cobertura mediática y el impacto si en este caso ese código de descifrado está en el entre el código malicioso es muy posible que se acabe publicando la herramienta de descifrado.
#18 creo que su "negocio" siempre va a tener mala fama, aunque descifren si pagas
#30 Siempre habrá algún calzonazos con síndrome de estocolmo que se sienta agradecido por recuperar sus archivos.
#16 los pagos bitcoim pueden llevar metadatos para identificar al usuario que ha pagado?
#13 Añado a tu añadido: Se conoce más bien el algoritmo para generar la clave o para descifrar sin clave; no una clave maestra en sí.
#19 Esa lista que he citado es bastante larga, en ella entiendo que habrá de todo. No presupongas que todo el código malicioso está hecho con las mejores técnicas de cifrado y las más seguras, habrá código malicioso de mucha calidad y otro de calidad pésima, como en todo.
#10 Muchos ransom usan una misma clave de descifrado para cada versión del mismo.
#10 no, no es obvio. Es una entradilla errónea/incompleta y que da lugar a error.
#7 Incluye la clave de desencriptado: "WNcry@2ol7"
Pues habría que cambiar eso porque para los pobres usuarios de windows afectados se generan expectativas que se verán frustradas
#3 Le he pasado la consulta por Whatsapp a Chema, a ver si él nos lo puede aclarar...
#4 Está de vacaciones, ya contestará...
#3 #4 Según Wikipedia: WannaCry, also known by the names WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor and other similar names, is a ransomware program targeting Microsoft Windows. In May 2017, a large cyber-attack using it was launched, infecting over 230,000 computers in 99 countries, demanding ransom payments in bitcoin in 28 languages. The attack has been described by Europol as unprecedented in scale.
Voy a explicar una anécdota: hace años mi padre encontró un Panasonic Toughbook en un taller que acababa de cerrar. Esos portátiles se usaban en trabajos duros (minería por ejemplo) dada su elevada resistencia a los golpes, polvo, etc y seguridad en caso de robo. Intentando usarlo vi que por seguridad ese ordenador cifraba el disco duro en caso de robo, y ya venía cifrado cuando lo trajo.
Noob de mi, le pedí a la empresa de informática de un conocido que me dejara un disco duro de 2,5" cuando estos todavía eran muy caros para hacer unas pruebas, y tal y como lo metí en el portátil me lo cifró y me lo dejó inutilizado. Me quería morir.
Encontré por los bajísimos fondos de internet una web de un tío que me dijo que me lo desbloquearía por 50€. No sabía si jugarmela o no, pero al final me la jugué, porque era pagar esos 50 los 300€ del disco (o ambas cosas en el peor de los casos).
El tío de la web me envió un programa, me pidió unos datos, me mandó una clave y efectivamente el programa lo descifró y pude devolver el disco duro (sin contar lo sucedido). No he vuelto a tocar ese portátil que conservo en el altillo. Le tengo miedo.
No es para mucho, pero estos días me acuerdo mucho de esta historia con lo del wanacry y quería contarla.
#31 Ya los discos duros de 2.5" sobre todo en el mercado de segunda mano están tirados, tiempo para volver a jugar a ser un wanker.
#36 Ni con un palo toco yo ese portatil después de aquel amago de infarto que tuve.
#45 es el momento de vengarte de él. Métele otro disco duro que valen dos duros. Y nos cuentas
#45 Pues siendo rugged , a mi me haria gracia intentarlo, ¿a cuanto lo vendes?
#54 Por ahora prefiero conservarlo, por si más adelante tengo tiempo, ganas, discos de 2,5 de sobras y un par de cojones.
Por cierto, es este, por si alguien sabe algun truquillo o clave maestra: Panasonic CF-29.
Cosa que tengo clarísima: ese portatil tiene una clave maestra para la BIOS, y seguramente ahí se puede desactivar el cifrado.
#59 Normalmente basta con quitar la pila de la bios , dejar pasar un tiempo para asegurarse de que todos los condensadores han agotado carga , poner una nueva y listo. Tambien suelen tener un banco de switches en la placa base que permiten resetearla
Una lastima , me hubiera gustado echarle las zarpas a ese engendro
#23 Trabajo con varias grandes empresas y siento decirle al señor Chema que tomarse 2 meses en validar un parche de seguridad catalogado como Crítico no entra dentro de la operativa recomendada. Como excusa para calmar a los usuarios inexpertos le puede servir.
#28 Casi mejor WesternUnion no?
El problema está entre la silla y el teclado.
#20 me parece de muy mal gusto culpar del problema a los gatos
Otra cosa graciosa es que muchos usuarios que no entienden lo que ejecutan, van a saber hacer un ingreso en bitcoins... Este ransomware falla en usabilidad, habrá infectado mucho, pero muy poca gente sabrá como pagar.
#25 ¿Les recomiendas exigir el pago por Paypal o transferencia bancaria?
#25 Con el virus de la Policía conozco a uno que se tiró toda una mañana buscando dónde comprar tarjetas Ukash.
En serio desactivar SMB/CIFS, sigo sin saber para que narices le vale al usuario medio:
Al menos en Windows 8.1/10
1 - Ir al panel de control
2 - Programas y características
3 - En la izquierda "Activar o desactivar las características de Windows"
4 - Desmarcar "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS"
5 - Aceptar
Salu2
Vamos, que teniendo Windows 10, el Windows defender actualizado o cerrando el SMB a internet con un firewall, ayudaba bastante a no infectarse... como con el Sasser...
Pero siempre se le echa la culpa al usuario.
#17 Pregunto: imagino que por smb te refieres a samba. Es muy vulnerable al ser atacado?
#24 ¿¿Que si lo es?? Un fiasco de diseño.
Es lo primero que me aseguro de no abrir al resto de internet o a otras subredes que no deberían acceder.
Viene de lejos: http://unaaldia.hispasec.com/1999/01/vulnerabilidad-en-redes-windows-9598.html?m=1
Acordarse de Windows XP y el Sasser, la que lío.
#24 Yo creo que Samba es la implementación del protocolo CIFS/SMB para Unices. En Windows se llama SMB.
https://www.samba.org/
Según he leído este ataque no afecta a los servidores Samba con Linux.
Lo que está claro es que si un cliente Windows sube un documento cifrado con WannaCry a tu Linux, este documento seguirá cifrado.
#17 También ayuda desactivar el protocolo SMB en todas las máquinas cliente de la red interna.
Yo siempre lo hago en todos los equipos de mis clientes: Desactivo los protocolos de comunicaciones que no sean estrictamente necesarios.
#44 si desactivas samba en el cliente, ¿podrá comunicar con una nas mediante samba desde ese cliente?
#64 Si, por lo menos en cliente Windows.
Yo lo que hago es eliminar la opción: "Compartir impresoras y archivos para redes Microsoft" (dentro de las propiedades de Internet).
Con esto debería irte bien.
No obstante, quizás alguien nos podría aclarar si con esto basta.
#17 si el usuario no instala las actualizaciones de seguridad, si, la culpa es del usuario.
#52 es responsabilidad de la empresa aplicar políticas de seguridad que controlen que los equipos que hay en sus redes tengan todas las actualizaciones de seguridad instaladas. En mi empresa lo hacen, aparte de dar cursos para evitar phising y correos periódicos recordando las medidas básicas de usuario para evitar ataques. Curiosamente mi empresa no se ha visto afectada por el ataque.
#60 tampoco ninguno de mis clientes ha sido afectado, los tengo bien educados y en cuanto empezo el percal les avise del asunto, a parte les tengo informados de todas las
campañas de ramsomware que veo y les remarco lo importante de tener el ordenador actualizado, ni de que nadie te va a mandar un correo electronico con que te ha tocado la loteria, de que desconfien de los correos electronicos mal redactados y un largo etc.
#0 quita rápidamente lo de la clave porque puede generar muchos problemas. Es la clave del zip del malware, no la clave de descifrado de los ficheros.
Además INCIBE acaba de informar de que la versión que ha atacado a Telefónica (y presumíblemente a la mayoria de los afectados españoles) no comprueba el registro del dominio, así que es invulnerable a las técnicas de sinkhole etc.
https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidoshttps://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos
#15 Página no encontrada
#15 https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos
Mi no entender. Su permite descifrar unos pocos ficheros (para demostrar que puede) la clave está en memoria. Un dump de memoria del proceso la tiene dentro. Simplemente es un poco de paciencia con el desensamblado de código para pillarla.
#35
Puede usar múltiples claves.
#35 igual la clave está cifrada también
#67 hasta que el cifrado homomórfico sea práctico el procesador tiene que acceder a ella (tarde o temprano... Si está cifrada tiene que descifrarla el procesador.. vamos puedes ir hasta el infinito). imagino que los expertos en seguridad sabrán la razón...
#0 He añadido la n que le faltaba al nombre del malware.
#1 Por mi ok, incluso me suena mejor como contracción de "want to", pero como lo veo escrito en cada sitio de una manera lo he puesto así
https://www.google.es/search?q=WannaCrypt Aproximadamente 148.000 resultados (0,41 segundos)
https://www.google.es/search?q=WanaCrypt Aproximadamente 1.240 resultados (0,53 segundos) [y los primeros resultados se refieren a otro software]
#2
#3 Chema ya te ha contestado.:
http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=1
#23 pero no dijo nada, solo que era maligno.
#2 Tienen un "contact us" y todo, que profesionales
#1 Es más importante la s del tipo de malware.
Editado.
#74 A ver, el cifrado no se hace con una clave así. Es RSA.
Son cuando menos 512 bytes pero habitualmetne son de 1024 a 2048
Esa clave salta en unas horas en una ataque de fuerza bruta en determinados sitios. De hecho fíajete que ya es pública.
Esa clave no sirve para descifrar los archivos.
En los ataques que hemos tenido en uno se ha pagado y la calve es un chorizón asín de largo
Una sola clave de encriptación
#57 léelo bien. Esa no es la clave de cifrado sino de un zip de payload.
#61 #63 Como quieras, pero la clave de cifrado es la misma para todos los pcs*. Joder, que eres sysadmin, yo no, pero algún conocimiento tengo.
Parece mentira que no sepas como funcionan las mierdas estas siendo sysadmin
* Había por lo menos 3 monederos, así que habría por lo menos 3 claves de cifrado.
#57 Lee además esto que parece que me da la razón...
#63 como consigues poner enlaces con texto?
#70 pones el enlace y justo a continuación un único espacio y el texto que quieres enlazar encerrado en corchetes dobles.
Más o menos así( hay espacios a propósito mal entre http y : )
http : //www.google.com [[Texto del enlace]]
Quedaría así:
http://www.google.com [[Texto del enlace]]
#72 gracias! No sabía que en Menéame permitían eso
El zip no está encriptado. Es una password común y corriente. Negativo por inducir a error tratando de hacer creer que es la key para desencriptar los archivos wncry.
Venga chema a instalar el windows defender
que se pongan todos juntos a minar la clave privada
"Desencriptado".
Perdonadme, pero es que me suena tan mal ...
Una pregunta, desde el desconocimiento... cuando dicen "ataca a una vulnerabilidad samba"... ¿lo hacen para desviar la atención al mundo linux, por no querer decir - creo - CIFS (que es el nativo de windows)???
Un saludo
#43 ¿dicen samba? Mal dicho. Es una vulnerabilidad de la implementación del protocolo SMB en algunos Windows, ya parcheada.
Samba también implementa SMB pero no comparte código.
El puto protocolo SMB lleva dando por culo desde el principio de los tiempos... así como 25 años teniendo bugs