Portada
mis comunidades
otras secciones
![Descubren por casualidad un 'interruptor' que evita que WannaCry se extienda, simplemente registrando un dominio [EN]](https://cdn.mnmstatic.net/cache/2a/4b/media_thumb_2x-link-2771963.jpeg?1494659346)
#1:
De héroe "accidental" nada. Que la solución haya costado poco dinero no significa que no tenga mérito este tío, que ha sido capaz de desentrañar el funcionamiento del malware y deducir una manera de detenerlo. Este titular es como aquel viejo chiste en el que uno se quejaba de que le habían cobrado 1000 euros por cambiar un tornillo, y el ingeniero le explicaba que 1 euro era por el tornillo, y 999 por saber qué tornillo había que cambiar.
#6:
#3 Pero si se tomó la molestia de intentarlo fue porque supuso que era posible que funcionara. Nadie hace las cosas con el 100% de certeza de que vaya salir bien, y no por eso sus éxitos son accidentales. Creo que este hombre en sus declaraciones es demasiado modesto y el periodista ha buscado morbo destacando la parte "serendipity" de la historia.
#3:
#1 Lo explica él en un tweet, indica que la parte de "accidental" viene de que cuando registró el dominio no era consciente aún que eso detendría el ataque.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack
#8:
El domino que no estaba registrado es
atleticodemadridcampeondeeuropa.com
atleticodemadridcampeondeeuropa.com
#22:
#7 el dominio es: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Lo leí esta mañana en el blog de malwarebytes: Main functionality
WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).
The WinMain of this executable first tries to connect to the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. It doesn’t actually download anything there, just tries to connect. If the connection succeeds, the binary exits.
This was probably some kind of kill switch or anti-sandbox technique. Whichever it is, it has backfired on the authors of the worm, as the domain has been sinkholed and the host in question now resolves to an IP address that hosts a website. Therefore, nothing will happen on any new systems that runs the executable. This only applies to the binary with the hash listed above; there may well be new versions released in the future.
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Lo leí esta mañana en el blog de malwarebytes: Main functionality
WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).
The WinMain of this executable first tries to connect to the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. It doesn’t actually download anything there, just tries to connect. If the connection succeeds, the binary exits.
This was probably some kind of kill switch or anti-sandbox technique. Whichever it is, it has backfired on the authors of the worm, as the domain has been sinkholed and the host in question now resolves to an IP address that hosts a website. Therefore, nothing will happen on any new systems that runs the executable. This only applies to the binary with the hash listed above; there may well be new versions released in the future.
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
#47:
#33 O podía haber provocado doblar el precio del rescate, o dividir por la mitad el tiempo que hay para pagarlo, o activar un nuevo vector de ataque latente que afectase a servidores Linux. Ha reconocido que no conocía las consecuencias, por lo que el resultado podía haber sido ninguno significativo, convertirse en villano accidental o en héroe accidental.
#53:
De momento muchas infecciones (de hecho el autor hablaba de miles de peticiones por segundo) pero tan solo 53 rescates han sido pagados en las 3 direcciones de bitcoin que fueron utilizadas: 13 + 17 + 23
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Eso son 10.601342 BTC o lo que es lo mismo, unos 16617 EUR.
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Eso son 10.601342 BTC o lo que es lo mismo, unos 16617 EUR.
#17:
#12 Les habían cerrado la fábrica y mi abuelo era el jefe de taller, el propietario de escondidas quería poner en marcha una maquina de la fábrica para un pedido específico pero la máquina no estaba calibrada así que llamó a mi abuelo. Quien vio que el propietario sacaría una buena tajada y solo le quería pagar por horas, así que le exigió una pasta gansa para calibrar la máquina a lo que el propietario se subió por las paredes por saber que el trabajo en sí era girar un tornillo y es cuando mi abuelo le explicó más o menos eso de que para lo que pagaría no era para que alguien girase un tornillo si no a alguien que sabe exactamente hasta donde hay que girarlo.
Una historia donde no hay buenos, solo víctimas y aprovechados, también mi abuelo que era ambas cosas (no iba a cobrar lo que le debían tras cerrar el taller).
Una historia donde no hay buenos, solo víctimas y aprovechados, también mi abuelo que era ambas cosas (no iba a cobrar lo que le debían tras cerrar el taller).
#19:
Que llamen al Chema ese que es respinsable de la seguridad informática en timofonica y va de jakerrrrr por las tv y se lo cuenten anda .
Comentarios
De héroe "accidental" nada. Que la solución haya costado poco dinero no significa que no tenga mérito este tío, que ha sido capaz de desentrañar el funcionamiento del malware y deducir una manera de detenerlo. Este titular es como aquel viejo chiste en el que uno se quejaba de que le habían cobrado 1000 euros por cambiar un tornillo, y el ingeniero le explicaba que 1 euro era por el tornillo, y 999 por saber qué tornillo había que cambiar.
#1 Lo explica él en un tweet, indica que la parte de "accidental" viene de que cuando registró el dominio no era consciente aún que eso detendría el ataque.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack
#3 Pero si se tomó la molestia de intentarlo fue porque supuso que era posible que funcionara. Nadie hace las cosas con el 100% de certeza de que vaya salir bien, y no por eso sus éxitos son accidentales. Creo que este hombre en sus declaraciones es demasiado modesto y el periodista ha buscado morbo destacando la parte "serendipity" de la historia.
#6 O para seguir con la investigación, para ver que ocurría y si de ahí podía obtener más información para seguir investigando.
Otro podría haber visto el dominio en el código y no molestarse en contratarlo y pagar por ello y dirigir su investigación en otra dirección.
#9 #6
Creo que ambos teneis razon.
El heroe no fue accidental, estaba intentando hacer algo.
Pero la solucion si.
Y ha salido bien, pero... y si en lugar de un interruptor para detener la infeccion era un interruptor para borrar pruebas????
Te marcas un PP a nivel mundial
#6 El artículo de theguradian en #3 hablá de todo esto: como trabaja en una empresa de seguridad en la red siguió el protocolo para registrar el dominio que estaba intentando contactar el malware para rastrearlo e intentar entenderlo más a fondo. En medio del proceso incluso alguien lo acusó de haber sido el causante de que el malware se expandiera a través de ese dominio. Al final quedó claro que el domino era el interruptor de apagado.
#3 Pero tenía la sospecha de que eso iba a funcionar o por lo menos arrojar algún resultado; eso no es accidental, ha sido una prueba empírica y le ha funcionado. Aquí la serendipia no tiene nada que ver, que por algo es investigador de ciberseguridad. Estoy #1.
#33 O podía haber provocado doblar el precio del rescate, o dividir por la mitad el tiempo que hay para pagarlo, o activar un nuevo vector de ataque latente que afectase a servidores Linux. Ha reconocido que no conocía las consecuencias, por lo que el resultado podía haber sido ninguno significativo, convertirse en villano accidental o en héroe accidental.
#47...o podía haber detenido el sistema de refrigeración de todas las centrales nucleares del mundo, o enviado la señal "Tora Tora Tora" a una civilización bélica alienígena, y así hasta ∞, pero no, lo ha detenido y esa es la única realidad.
#54 Correcto, y me alegro, y por ello se le califica de héroe accidental, por méritos propios y a buena honra.
Tres hurras por él.
#55 Sigo sin creer en lo accidental, pero vale, para ti la burra.
#57 pero si el mismo lo ha dicho....
#33 #47 Para estas cosas se usan los laboratorios. Coges un dispositivo infectado, lo metes en una maqueta copn tu propio DNS, que configuras como quieres, das de alta el dominio en tu DNS asilado en tu maqueta aislada y pruebas.
Pero vamos que ha salido bien así que un heroe.
#47 Aquí hemos venido a jugar
#1 “chiste“ que viene de una historia real.
#10 De muchas historias reales, mi abuelo explicaba una anécdota personal en esa línea.
#11 Cuéntanos más
#12 Les habían cerrado la fábrica y mi abuelo era el jefe de taller, el propietario de escondidas quería poner en marcha una maquina de la fábrica para un pedido específico pero la máquina no estaba calibrada así que llamó a mi abuelo. Quien vio que el propietario sacaría una buena tajada y solo le quería pagar por horas, así que le exigió una pasta gansa para calibrar la máquina a lo que el propietario se subió por las paredes por saber que el trabajo en sí era girar un tornillo y es cuando mi abuelo le explicó más o menos eso de que para lo que pagaría no era para que alguien girase un tornillo si no a alguien que sabe exactamente hasta donde hay que girarlo.
Una historia donde no hay buenos, solo víctimas y aprovechados, también mi abuelo que era ambas cosas (no iba a cobrar lo que le debían tras cerrar el taller).
#17 a mí me pasó lo mismo en los tiempos del Ms dos. cobre dos mil pesetas por hacer un backup qué consistía en escribir el comando y luego ir insertando discos cuando me lo pidiese. el cliente se quejó de que le cobrase esa cantidad por tan solo escribir una línea. yo le dije que no, que era por saber qué línea había que escribir, más mi tiempo, y el desplazamiento
#86 A mi me pasó hace unos 6 o 7 años con una clienta que quería una tienda online. Le propuse una solución basada en un software Open Source que por supuesto adaptaría a sus necesidades. El precio era muy bueno, la verdad, porque yo estaba desesperado por cobrar algo asi que se lo había dejado tirado. Pero viene la tia y me dice:
¿Y si es un software gratis por qué te tengo que pagar? Le intenté explicar dos veces por qué y en qué conceptos, que incluía entre otras cosas que hasta hacía media hora ella no sabía que existía ese software. A la tercera la respuesta fue mucho más simple: No tienes que pagarme nada. Con un poquito de maña lo puedes hacer tu sola. Como al mes me llamó porque algún pariente o amigo que se lo estaba haciendo gratis se había enredado con algo. Por supuesto les dupliqué el presupuesto, ya yo estaba en otra cosa. Todavía no tienen tienda online.
#10 Como el de aquel abogado.
#13 El que tengo aquí colgado.
#13 El que tengo aquí colgado.
#1 pues yo no me lo creo que activando un dominio se pare un virus. Yo sospecharía de este tío. Si no esta implicado, esta claro que los creadores se han asustado del alcance y lo han parado.
El daño que han hecho es muy grande. Vann a ir a por ellos y los van a trincar
#26 Bueno, que tu no te lo creas no afecta en absoluto al hecho de que es perfectamente posible detener el virus mediante ese interruptor.
Pero bueno, la gente cree en un señor barbudo vestido de blanco y no pasa nada
#37 mi dentista?
#37 Claro que es posible que activando un dominio se pare el virus. Pero tiene que estar preparado para ello. Lo que no me creo es que alguien se halla dado cuenta, halla registrado el dominio y ahora vaya de héroe. Lo que digo es que lo han parado porque se han asustado de la repercusión que ha tenido.
#68 ya lo explicaron muy bien. El código del virus comprueba si el dominio está Online. Si no, continúa la ejecucion. Si esta online, la para. Es lo que se llama en desarrollo un interruptor o failsafe. El dominio no tiene que estar preparado para nada y es agnóstico.
La forma de saberlo es haciendo ingeniería inversa en la decompilacion y viendo las conexiones que intenta hacer el bicho.
#70 Que si, que se puede. Y yo he hecho cosas similares, para asegurarme que me paguen por trabajos que he dejado funcionando en los servidores de mis clientes. Pero lo hago contra un dominio mío, que ya tengo adquirido de antemano. Y por trabajos que no son ilícitos y he facturado legalmente.
Lo que no me creo es el royo del tio que se dio cuenta y compro el dominio y se apunta las medallas.
#74 lo tuyo es ilegal
#75 No, porque yo les estoy vendiendo un servicio. Y tengo que poder cortarlo si no me pagan.
Lo que es ilegal es tardar 3 meses es pagarme una factura. Porque no veas lo que jode tener que pagar el IVA por algo que no estás seguro si vas a cobrar.
#74 perro viejo. Yo lo hago siempre. suelo poner por código que no pueda emitir facturas a partir de tal fecha. si hay algo que le va joder de verdad es no poder cobrar a sus clientes. y pagan. Vaya si pagan
#87 jaja, yo se lo hice a unos pero con una web. Pasados los 3 meses de estar en funcionamiento y sin cobrar la pasta les puse una página de "Servicio suspendido por falta de pago" y creo que no tardaron ni media hora. Es más efectivo que cortarles el servicio.
#70 Me creo mas bien que sea una vacuna para que no ataque a los delincuentes. Los malos se vuelven inmunes a su propio monstruito simplemente con poner ese dominio en el hosts apuntando a la maquina local. Así si se infectan ellos mismos, al resolver el dominio apunta a una maquina que está en linea y la ejecución se para.
#78 ¿pero como va a atacar a los delincuentes si ellos son los que tienen la clave de cifrado? Os montáis unas películas de impresión.
#82
qué atrevida es la ignorancia (informática)
#88 no tiene límites. No hay más que leer cualquier artículo en la prensa estos días. Hala, voy a programarme un interface gui en basic para trackear ips.
#82 #88
Opcion A, dimitri se infecta con su virus y tarda media hora en desinfectarlo con la clave que tiene
Opcion B, dimitri no se infecta con su virus y no pierde ni un segundo.
Peliculas? Yo lo llamo buena gestión del software...
#91 Opción C: Dimitri no es imbécil y no ejecuta el virus en su propio ordenador, ya que el virus es inofensivo hasta que se ejecuta en la red.
Opción D: Dimitri no es imbécil y no hackea desde Windows, si no desde un sistema Linux, así que el virus se la pela.
Repito, películas.
#78 em... si se infectan ellos solos ellos saben el password...
#70 O cogiendo un ordenador infectado, meterlo en una red en la que está el solo y analizar las peticiones que hace. Al ver que hace peticiones a ese dominio está claro que ese dominio tiene alguna relación.
#26 si, yo creo que habría que dispararle y preguntar después
#1 Es un dicho basado en un hecho historico de Nicola Tesla, que cobró 10.000 dolares de la época por trazar una linea con tiza cuando trabajaba para General Electric al pedir que desglosara la factura.
Marca de tiza en el generador: 1 dólar. Saber dónde hacer la marca 9.999: dólares. Total a pagar: 10.000
#27 casi, era Steinmetz: http://www.alpoma.net/tecob/?p=8111
#61 Por lo menos pon el enlace para que pueda verse la fecha de esos parches. Goto #44.
En mi primer enlace en #48 ayer informaban claramente de que no se diponía de parche para Window$ 7.
Dos meses no es tanto tiempo cuando se habla de un parque de PCs importante en grandes empresas, además los parches de seguridad (hasta ayer mismo) no parecian una prioridad de las urgentes.
(CC #19)
Edit #67. Para #61. Goto El ciberataque masivo utiliza herramientas de la NSA (ENG)/c44#c-44. (Era el comentario 44 de otro hilo).
#67 goto #35
Que mucho "y otra vez", "al menos pon el enlace", pero no te das cuenta de que precisamente puse el enlace del que pasaste olímpicamente.
#69 "Seguro que han pasado muchas cosas entre ayer y hoy."
Salvo que no.
También en el mismo enlace (te lo pongo otra vez, no sea que se te olvide mirarlo):
https://support.microsoft.com/en-us/help/4013389/title
4012215 March 2017 Security Monthly Quality Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
4012212 March 2017 Security Only Quality Update for Windows 7 SP1 and Windows Server 2008 R2 SP1
Article ID: 4013389 - Last Review: Mar 14, 2017 - Revision: 5
Applies to
Windows Server 2016 Datacenter, Windows Server 2016 Essentials, Windows Server 2016 Standard, Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 for Itanium-Based Systems, Windows Web Server 2008, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Vista Service Pack 2, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Business, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Starter
#1 fue accidental porque no se esperaba eso. Lo que no quiere decir que fuera algo fácil, que es lo que parece que han dicho según tu respuesta.
#1 Hombre tiene mérito como buen observador. No creo que mucha gente tuviera la paciencia de observar lo que hace el rsmsonware cuando tu empresa está patas arriba y eres uno de los encargados de "hacer" algo. Muy buen trabajo tío. En mi empresa corrió el acojono y todo IT apago los PCs Nos quedamos los de desarrollo expectantes a ver qué pasaba. A las 14.40 aprochamos para hacernos un telefónica y salir corriendo para casa
El domino que no estaba registrado es
atleticodemadridcampeondeeuropa.com
#7 el dominio es: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Lo leí esta mañana en el blog de malwarebytes: Main functionality
WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).
The WinMain of this executable first tries to connect to the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. It doesn’t actually download anything there, just tries to connect. If the connection succeeds, the binary exits.
This was probably some kind of kill switch or anti-sandbox technique. Whichever it is, it has backfired on the authors of the worm, as the domain has been sinkholed and the host in question now resolves to an IP address that hosts a website. Therefore, nothing will happen on any new systems that runs the executable. This only applies to the binary with the hash listed above; there may well be new versions released in the future.
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Entonces... El día que este hombre deje de pagar el dominio el virus volverá a extenderse? (Si no se ha parcheado Windows, digo)
#5 No he encontrado cual es el dominio en cuestión, entiendo que se acabará conociendo. Ante eso en redes empresariales se puede añadir manualmente la entrada en los servidores DNS internos y obligar a los ordenadores de empresa a consultar esos servidores y no otros, en cuyo caso ya no sería relevante lo que ocurriera con el dominio de Internet.
#5 Hay que corregir el agujero sino pueden extenderlo variando el dominio.
#23 pero si lleva corregido desde marzo!
#23 ¿Cambiando? Yo soy el malomalisimo que ha marcado ese gol y sé que el gusano funciona, y ahora mismo estoy liberando otra versión sin ese checkeo de dominio. Lo cambio por un check de una fecha dentro de 1000 años, o por algo con claves criptograficas asimetricas... o a tomar por culo la moto, sin seguridad. Que me paguéis mis 300 dolares, ostia coño ya, esto es un secuestro y no os va a salvar ni Liam Neeson!
#79 El problema de ponerlo para dentro de 1000 años es que seguramente los ordenadores de entonces no se parecerán a los de hoy, los ordenadores infectados se habrán convertido en chatarra, y que a conciencia o accidentalemente la vulnerabilidad que les permitía extenderse haya desaparecido, e incluso la carga que lleve sea inofensiva porque el sistema operativo sea mucho más robusto que eso.
#95 Tu sabes que en la Bios le puedes poner la fecha que te salga de las narices, y desactivarle lo de coger la fecha online, y la mayoría de las webs seguirán funcionando, ¿no?
Digo lo de 1000 años como puedo decir que la maquina tenga un dispositivo de sonido PnP con un numero de serie acabado en 14, la cosa es tener algo que marque al equipo como "a mi no me infectes" y que sea mas retorcido de parar que "paco, dame la tarjeta de crédito que voy a registrar un dominio". Y como no tapen el boquete rápido vendrá alguien sin escrúpulos y lo hará...
#97 Es que estuve pensando en las consecuencias de dejar algo programado para demasido tiempo en el futuro y llegué a la conclusión de que cuanto más adelante sea más cosas pueden haber pasado que lo hagan irrelevante.
Y si, en la BIOS si es viejuno, en la UEFI si es moderno. Pero ese no es el tema. El agente malicioso podría coger la hora de la red aunque tu equipo no esté en hora.
En este caso imagino que estaba pensado como ciberarma para enviar el payload que fuera. En este caso el payload era poco discreto, porque se dedicaba a pedirte dinero, directamente, lo que lo revela al usuario, y además le jode la vida y no le deja trabajar. Podría haber sido bastante más sigiloso dejando algo para espiarte, o dejarlo durmiendo y activarlo mediante la creación de un dominio. Parece algo pensado para atacar a corporaciones o a organizaciones, y para eso necesitan un interruptor. por si los otros se rinde, no para defenderse ellos mismos de su creación.
La condición de parada se tiene que poder lanzar de manera externa, no tiene que ser una característica de tu equipo que no pueden controlar los dueños del malware. Quieren seguir teniendo el control. En el caso de lanzar algo diferente y no un cifrado de tu disco, sino un software espía, tienen que poder recibir los datos, o desactivarlo o hacer que se baje un nuevo contenido malicioso para hacerte daño de otra manera... en fin, que como herramienta de ataque necesitan poder controlarlo a distancia.
#99 " Pero ese no es el tema. El agente malicioso podría coger la hora de la red aunque tu equipo no esté en hora."
Al reves. Si yo soy el chungo y le pongo una condición que diga "no infectes a un equipo que tenga una fecha posterior a 2100", lo siguiente que hago es poner la fecha de mi equipo en 12017, para que no me infecte *a mi*. Es justamente para eso para lo que hicieron lo del dominio: te vas a tu fichero hosts o al servidor proxy DNS que tengas en tu red local y le configuras que ese dominio apunta a 127.0.0.1 para que si estas trabajando en el código y lo lanzas por error, no te tires media hora deshaciendo la cagada. Simplemente se para y ya...
El seguro por DNS es demasiado fácil de parchear a nivel global, si fuese algo mas jodido como "pon una fecha super rara en el equipo" no nos salvamos ni dios hasta que todo estuviese parcheado con updates, que lleva mucho mas tiempo...
#100 Bueno, antes del parche podría tener algún sentido. han descubierto una vulnerabilidad y han escrito un exploit en lugar de un parche. Como no han notificado la vulnerabilidad, porque entonces su arma podría dejar de funcionar necesitan estar vacunados, como lo están los que trabajan con algunas armas biológicas.
Aún así es un seguro o un control remoto un poco malo.
#5 #24 El "agujero de la NSA" lleva parcheado desde hace 2 meses:
https://support.microsoft.com/en-us/help/4013389/title
March 14, 2017
Que la gente no quiera pasar el parche, es cosa suya.
#35 Y otra vez... Pero no hay parche para Windows$ 7 (ni para el descatalogado Window$ XP); además en entornos empresariales ya se ha repetido varias veces que no se pueden actualizar los equipos sin pasar antes por procesos de verificación con el fin de comprobar que las actualizaciones no compromenten otro software crítico instalado (realizado a medida), etc... Aquí tienes un buen resumen del destrozo montado :
http://www.eldiario.es/cultura/tecnologia/Ransomware-virus-atacado-Telefonica_0_642886104.html
http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=1
#48 "Pero no hay parche para Windows$ 7"
Aha, ¿y esto qué es, una piruleta con forma de perrito?
Windows 7 (all editions)
Security update file name
For all supported x64-based editions of Windows 7:
indows6.1-KB4012212-x64.msu
Security only
For all supported x64-based editions of Windows 7:
Windows6.1-KB4012215-x64.msu
Monthly rollup
"no se pueden actualizar los equipos sin pasar antes por procesos de verificación"
DOS MESES han tenido para pasar sus procesos de verificación. Anda no jodas.
"el descatalogado Window$ XP"
Desde hace TRES AÑOS.
#63 goto #61
#48 Excepcionalmente MS ha sacado un parche para XP, W8 y WS 2003.
http://clipset.20minutos.es/microsoft-publica-el-parche-de-windows-xp-para-wannacrypt/
#71 Buen aporte.
#35 Supongo que sabes que para algunos sistemas operativos no salio el parche.. por ejemplo Windows7.
#63 ¿El de la página que he enlazado que salió para Windows 7? Pues no, no lo sé.
10.60 dólares ha costado salvar miles de ordenadores más.
#4 De los cuales los afectados le van a devolver... cero, ni las gracias le van a dar.
#30 Del prestigio se come
#30 creo que a curriculum como experto en seguridad le va a venir bien esta anecdota, llámame loco.
#4 Visto así hacer cualquier cosa en informática es prácticamente gratis...lo que vale es el tipo que se lo mira y se le ocurre
#43 claro
#4 De 10,60$ nada. Ese hombre tendrá su salario o sus ingresos y en general en seguridad se cobra bastante. Mi compañero de piso trabaja en seguridad, y le da para hobbies relativamente caros.
De todas maneras los ingenieros de red deberían poner una entrada de este dominio en sus DNS, por si alguien se olvida de renovarlo.
Que llamen al Chema ese que es respinsable de la seguridad informática en timofonica y va de jakerrrrr por las tv y se lo cuenten anda .
#19 Una cosa es lo que indiques que hay que hacer y otra es lo que te hagan caso. A Chema tiene pinta de que le ha pasado eso, a esos niveles tan gordos tu puedes mandar hacer y que luego no te hagan caso. Yo por ejemplo tengo asegurada, de la forma que mejor me ha parecido, unos casi 40 ordenadores, y en mi caso si que tendria responsabilidad si pasa algo porque he hecho y deshecho lo que me ha dado la gana.
#77 pues entonces es que el o muy bueno no es o es un consejerucho porque en Google o ms a que no les ha entrado el virus hasta la cocina? En una empresa sería de vigilan puertos acceso a webs ejecución de ficheros ....
#81 Sigo diciendo lo mismo, puedes ser un gran consejero y con el monton de peña, ordenadores, departamentos, etc etc... de ahí a que te hagan caso todos. En la cadena de mandos al final la culpa puede estar en los jefes de departamento que no han hecho lo que se les indicaba.
#83 #81 O tener ordenadores de repuesto apagados o apagados porque la persona que los usa habitualmente está de vacaciones. O que se usen a turnos y no se suelan reiniciar casi nunca, por lo que el aprche estád escargado pero aún no aplicado. Puede haber varias causas por las que los parches no estén al día, aunque estén casi al día.
El tema es que basta un equipo infectado que monte las unidades de red para que estas se cifen y jodan a un departamento.
De momento muchas infecciones (de hecho el autor hablaba de miles de peticiones por segundo) pero tan solo 53 rescates han sido pagados en las 3 direcciones de bitcoin que fueron utilizadas: 13 + 17 + 23
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Eso son 10.601342 BTC o lo que es lo mismo, unos 16617 EUR.
#53 De momento la máquina infectada va seguir infectada, y por lo que entiendo los afectados tienen 3 o 4 días para no perderlo todo. Así que esos números van a subir.
Ahora es cuando una empresa de seguridad puntera le hace un contrato millonario y le regala un gorro de lana, no?
#25 Sí es iñaki Urdangarin, Telefónica le pone un piso.
Para el que tenga interes, el análisis de Cisco en el sistema de TALOS:
http://blog.talosintelligence.com/2017/05/wannacry.html
Ahi mencionan el tema del dominio y como se descubrió en los honeypots.
#15 Muchas gracias. Esto es lo que estaba buscando, y es la mejor explicación de qué cogno hace el virus.
#21 El parche para Windows XP se llama "actualiza de una puta vez, so burro!".
#32 Windows XP no tiene soporte desde 2014. En mi curro tenemos que tener alguno por necesidad, tenemos un par de aplicaciones que no podemos cambiar que no tienen actualizaciones desde hace mucho. Esos equipos están aislados de la red por seguridad.
Ahora lo van a denunciar los del wanna cry por joderles el dominio
Como el mismo dice es algo temporal, los cabrones estos solo tienen que cambiar un poco el código y volver a lanzarlo, ya sabia yo que eso de soltar al gran publico los agujeros de la NSA tendría consecuencias.
#24 otro igual, si lo vuelven a lanzar se comen los mocos, no tiene sentido
#41 Conciencia básicamente. Yo me peleo a diario para intentar meter en la cabeza que las medidas más básicas de seguridad no son para tocar los huevos, es que puede pasar cualquier cosa y el punto más vulnerable de la seguridad informática es el interface silla-teclado hecho de carne.
#50 Sí, les mandaran un email diciendo que no habrán archivos de emails que no conocen (como ya se ha hecho mil veces antes) y listo. No va a cambiar nada.
#51 habrán? OMG
Bueno, esto es más bien un "paleativo". Los creadores de este virus seguro que van a sacar un nuevo parche para tapar ese "bug" (es decir, sacar una nueva versión del virus sin ese control)....
#16 Pero la firma del virus ya se conoce y por lo tanto cuando los antivirus se actualicen deberían detectarlo como tal. Vamos, que no será tan fácil como cambiar el dominio en cuestión y volver a lanzar.
#18 Es fácil cambiar la firma. DIgamos que según John McAfee, el del antivirus McAfee (antes de venderlo a Symantec) los antovirus están obsoletos y no sirven para nada. Se ha desentendido de la informática para dedicarse a tiempo completo a ser un millonario excéntrico.
Obviamente el antivirus algo hace, Es bastante bueno en detectar virus ya conocidos, y variantes próximas a estos.
#16 Y los que lo han sufrido parchearán también sus sistemas y posiblemente hasta Microsoft tendrá que parchear Windows XP. Esto es muy gordo, debe ser un punto de inflexión en la seguridad informática.
#21 Sí? Qué va a cambiar?
#21 la vulnerabilidad es en windows 10. Los que usan xP están a salvo, si no me equivoco.
#42 Los equipos de la NHS britanica funcionan con Windows XP. http://www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-are-still-running-windows-xp-machines
Windows 10 ya fue parcheada hace unos meses.
#16 y que? si hacen eso van a tener que empezar a infectar again desde cero, y ademas esta vulnerabilidad ya va a haber sido parcheada por todo el mundo. no tiene sentido hacer una version nueva
Un +10 para ese tío.
Que debates más absurdos, el mismo dice que fue accidental pero aquí discutimos si fue o no lo fue. El tipo quería recopilar datos utilizando ese dominio al que se intentaba conectar el malware pero resulta que si la conexión es exitosa (y el dominio existe) entonces se detiene.
No se trata de que no tenga mérito, pero accidental, si fue.
Y qué evita que hagan otra versión del virus sin consulta a ese dominio?
#14 Nada, pero tendrá que empezar su difusión desde cero.
#31 #14 Y tendrán que encontrar y usar otro exploit porque para este todos el mundo se va a dar prisa en aplicar el parche, probado o no.
#14 La actualización de Windows.
Supongo que a medida que pase el tiempo se sabrá más, quién o quienes fueron los autores del ransomware, desde cuando estaba en los ordenadores y cual fue el motivo que desencadenó el ataque.