EDICIóN GENERAL
237 meneos
8358 clics
Funcionamiento y análisis del ransomware WannaCry (incluye clave) [ENG]

Funcionamiento y análisis del ransomware WannaCry (incluye clave) [ENG]

Artículo de Microsoft explicando el funcionamiento del ransomware WannaCry que infectó los equipos de Telefónica y otros. Incluye la clave de desencriptado: "WNcry@2ol7".

| etiquetas: ransomware , wannacry , clave , desencriptar
108 129 3 K 292 netsec
108 129 3 K 292 netsec
#0 He añadido la n que le faltaba al nombre del malware.
#1 Por mi ok, incluso me suena mejor como contracción de "want to", pero como lo veo escrito en cada sitio de una manera lo he puesto así :shit:

Edit: incluso el propio ransomware lo tiene con una "n" en su pantalla (barra de título):  media
www.google.es/search?q=WannaCrypt Aproximadamente 148.000 resultados (0,41 segundos)

www.google.es/search?q=WanaCrypt Aproximadamente 1.240 resultados (0,53 segundos) [y los primeros resultados se refieren a otro software]

#2
#3 Le he pasado la consulta por Whatsapp a Chema, a ver si él nos lo puede aclarar...  media
#4 Está de vacaciones, ya contestará...
#3 #4 Según Wikipedia: WannaCry, also known by the names WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor and other similar names, is a ransomware program targeting Microsoft Windows. In May 2017, a large cyber-attack using it was launched, infecting over 230,000 computers in 99 countries, demanding ransom payments in bitcoin in 28 languages. The attack has been described by Europol as unprecedented in scale.
#23 pero no dijo nada, solo que era maligno.
#23 Trabajo con varias grandes empresas y siento decirle al señor Chema que tomarse 2 meses en validar un parche de seguridad catalogado como Crítico no entra dentro de la operativa recomendada. Como excusa para calmar a los usuarios inexpertos le puede servir.
#2 Tienen un "contact us" y todo, que profesionales
#1 Es más importante la s del tipo de malware. :troll:
La clave a la que se refiere el titular es la de un zip que contiene el código malicioso y no parece que sea la clave para descifrar los datos, la cual es la realmente relevante.
#7 Es obvio. Dado que no hay UNA clave; se genera una al vuelo para cada infección y se envía a el/los responsable/s.

Si fuera una única, el algoritmo de cifrado sería muy vulnerable; caería en minutos con las suficientes muestras. Además, con que un infectado pagase el rescate y compartiese la clave ya nadie más tendría que pagar nada.
#10 caería en minutos con las suficientes muestras

xD Veo que esta semana toca ser expertos en criptografía.
#12 Pues algo tirando a mucho sé :-)
#14 Trabajas en seguridad?
#22 ¿Ser un cuñado vale?
#18 No he mirado demasiado, pero viendo capturas en google imágenes veo montones de direcciones bitcoin únicas.

#21 Sólo un niño o alguien que no tiene ni idea de lo que está haciendo diseñaría un cifrado así para un secuestro de archivos. En cuyo caso, no creo que llegase a tener ninguna relevancia. Evitando entrar en detalles técnicos, introducir una clave maestra en un algoritmo arbitrario lleva a muchos problemas; matemáticamente tienen que cumplir una serie de requisitos para ser lo…   » ver todo el comentario
#40 quiero decir que WNcry@2ol7 me parece una clave muy obvia... Pero no soy experto en seguridad y probablemente esté diciendo alguna tontería
#46 Aah. Según decía #7 es la clave de un zip con el programa, no la clave para descifrar (que será distinta para cada pc o para cada red).
#66 Desde el momento que está publicada en el sub de |netsec ("Seguridad informática"), se supone que los que lo ven saben mínimamente de qué va el tema. Échale un vistazo a los artículos subidos al sub para ver que la mayoría son muy técnicos para el usuario informático medio.

Como correctamente dice #10, no es lógico en modo alguno pensar que con una clave "fulera" de 10 caracteres vas a desencriptar TODOS los equipos que se han infectado. De hecho, la incluyo en la…   » ver todo el comentario
#77 me parecía muy raro porque generalmente los cryptowares generan una clave distinta en cada máquina y la envían al C&C. Es la lectura del artículo lo que me lo ha aclarado. Aquí el que no ha leído el artículo es el que lo ha publicado.
#77 Gracias por la contestación. Personalmente no me ha llevado a error puesto que he estado siguiendo este tema por varios sitios (principalmente twitter y reddit) y ya sabía que no era la clave con la que se cifraban los archivos. Estoy seguro que no ha habido ninguna mala intención en la redacción de la entradilla y que como dices si el publico objetivo es gente con un conocimiento más profundo del tema ninguno ha entendido lo que no es. No obstante para los no versados (que tambien pueden…   » ver todo el comentario
#40 Sólo un niño o alguien que no tiene ni idea de lo que está haciendo diseñaría un cifrado así para un secuestro de archivos. En cuyo caso, no creo que llegase a tener ninguna relevancia.

El proceso de identificar el pago y transmitir la clave de descifrado no es trivial, supone una sobrecarga en el código y a su vez implica una complejidad añadida en las comunicaciones así como más fuentes de posibles riesgos ante rastreo, por lo que es perfectamente razonable crear un ransomware que…   » ver todo el comentario
#40 No he mirado demasiado, pero viendo capturas en google imágenes veo montones de direcciones bitcoin únicas.

Quizá has buscado algo genérico como "ransomware" y has visto las direcciones de otros códigos maliciosos, yo acabo de mirar en Google Images con el térmnino WannaCry y he visto únicamente repetidas 3 direcciones, son estas:

blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw…   » ver todo el comentario
#14 entonces aprovecho para preguntarte. Esta clave de desencriptado es de las primeras que probaría cualquiera que supiera un poco del tema no?
#10 Este ransomware en concreto no parece muy coherente en tanto que por lo que parece reutiliza1 direcciones bitcoin para varias víctimas, los cual dificulta si no es que impide directamente al autor del código malicioso conocer quién ha pagado y quién no de entre sus víctimas.

Es muy posible que ni pagando se descifren los datos y también podría ser que por ese mismo motivo reutilizase la misma clave de cifrado para todas las víctimas.

Añado que no son pocos los ransomwares de…   » ver todo el comentario
#13 No sé si es una versión diferente más actual, pero al menos una versión anterior lleva ya años circulando con gente que ha pagado y ha recuperado los archivos con éxito. No tengo detalles porque no he estudiado el tema, si es como dices entonces bastaría con encontrar a alguien con la misma dirección bitcoin que tú.
#16 Hay versiones de ransomware para dar y regalar y efectivamente muchos si no casi todos actúan profesionalmente para que su negocio no tenga mala fama, para que la gente decida pagar con cierta seguridad de que podrá recuperar su datos.

No parece ser el caso de este en concreto.

si es como dices entonces bastaría con encontrar a alguien con la misma dirección bitcoin que tú.

Indican que solo hay 3 direcciones bitcoin codificadas, en cualquier caso eso no es suficiente si no que…   » ver todo el comentario
#18 creo que su "negocio" siempre va a tener mala fama, aunque descifren si pagas
#30 Siempre habrá algún calzonazos con síndrome de estocolmo que se sienta agradecido por recuperar sus archivos.
#16 los pagos bitcoim pueden llevar metadatos para identificar al usuario que ha pagado?
#13 Añado a tu añadido: Se conoce más bien el algoritmo para generar la clave o para descifrar sin clave; no una clave maestra en sí.
#19 Esa lista que he citado es bastante larga, en ella entiendo que habrá de todo. No presupongas que todo el código malicioso está hecho con las mejores técnicas de cifrado y las más seguras, habrá código malicioso de mucha calidad y otro de calidad pésima, como en todo.
#10 Muchos ransom usan una misma clave de descifrado para cada versión del mismo.
#10 no, no es obvio. Es una entradilla errónea/incompleta y que da lugar a error.
#7 Incluye la clave de desencriptado: "WNcry@2ol7"

Pues habría que cambiar eso porque para los pobres usuarios de windows afectados se generan expectativas que se verán frustradas
Editado.
#0 quita rápidamente lo de la clave porque puede generar muchos problemas. Es la clave del zip del malware, no la clave de descifrado de los ficheros.

Además INCIBE acaba de informar de que la versión que ha atacado a Telefónica (y presumíblemente a la mayoria de los afectados españoles) no comprueba el registro del dominio, así que es invulnerable a las técnicas de sinkhole etc.

www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-c
#17 Pregunto: imagino que por smb te refieres a samba. Es muy vulnerable al ser atacado?
#24 Yo creo que Samba es la implementación del protocolo CIFS/SMB para Unices. En Windows se llama SMB.
www.samba.org/
Según he leído este ataque no afecta a los servidores Samba con Linux.
Lo que está claro es que si un cliente Windows sube un documento cifrado con WannaCry a tu Linux, este documento seguirá cifrado.
#17 También ayuda desactivar el protocolo SMB en todas las máquinas cliente de la red interna.
Yo siempre lo hago en todos los equipos de mis clientes: Desactivo los protocolos de comunicaciones que no sean estrictamente necesarios.
#44 si desactivas samba en el cliente, ¿podrá comunicar con una nas mediante samba desde ese cliente?
#64 Si, por lo menos en cliente Windows.
Yo lo que hago es eliminar la opción: "Compartir impresoras y archivos para redes Microsoft" (dentro de las propiedades de Internet).
Con esto debería irte bien.

No obstante, quizás alguien nos podría aclarar si con esto basta.
#17 si el usuario no instala las actualizaciones de seguridad, si, la culpa es del usuario.
#52 es responsabilidad de la empresa aplicar políticas de seguridad que controlen que los equipos que hay en sus redes tengan todas las actualizaciones de seguridad instaladas. En mi empresa lo hacen, aparte de dar cursos para evitar phising y correos periódicos recordando las medidas básicas de usuario para evitar ataques. Curiosamente mi empresa no se ha visto afectada por el ataque.
#60 tampoco ninguno de mis clientes ha sido afectado, los tengo bien educados y en cuanto empezo el percal les avise del asunto, a parte les tengo informados de todas las
campañas de ramsomware que veo y les remarco lo importante de tener el ordenador actualizado, ni de que nadie te va a mandar un correo electronico con que te ha tocado la loteria, de que desconfien de los correos electronicos mal redactados y un largo etc.
El problema está entre la silla y el teclado.
#20 me parece de muy mal gusto culpar del problema a los gatos ¬¬
#25 ¿Les recomiendas exigir el pago por Paypal o transferencia bancaria?
#28 Casi mejor WesternUnion no? :troll:
#25 Con el virus de la Policía conozco a uno que se tiró toda una mañana buscando dónde comprar tarjetas Ukash.
Voy a explicar una anécdota: hace años mi padre encontró un Panasonic Toughbook en un taller que acababa de cerrar. Esos portátiles se usaban en trabajos duros (minería por ejemplo) dada su elevada resistencia a los golpes, polvo, etc y seguridad en caso de robo. Intentando usarlo vi que por seguridad ese ordenador cifraba el disco duro en caso de robo, y ya venía cifrado cuando lo trajo.

Noob de mi, le pedí a la empresa de informática de un conocido que me dejara un disco duro de 2,5"…   » ver todo el comentario
#31 Ya los discos duros de 2.5" sobre todo en el mercado de segunda mano están tirados, tiempo para volver a jugar a ser un wanker.
#36 Ni con un palo toco yo ese portatil después de aquel amago de infarto que tuve.
#45 es el momento de vengarte de él. Métele otro disco duro que valen dos duros. Y nos cuentas
#45 Pues siendo rugged , a mi me haria gracia intentarlo, ¿a cuanto lo vendes?
#54 Por ahora prefiero conservarlo, por si más adelante tengo tiempo, ganas, discos de 2,5 de sobras y un par de cojones.

Por cierto, es este, por si alguien sabe algun truquillo o clave maestra: Panasonic CF-29.

Cosa que tengo clarísima: ese portatil tiene una clave maestra para la BIOS, y seguramente ahí se puede desactivar el cifrado.  media
#59 Normalmente basta con quitar la pila de la bios , dejar pasar un tiempo para asegurarse de que todos los condensadores han agotado carga , poner una nueva y listo. Tambien suelen tener un banco de switches en la placa base que permiten resetearla
Una lastima , me hubiera gustado echarle las zarpas a ese engendro xD
que se pongan todos juntos a minar la clave privada
Mi no entender. Su permite descifrar unos pocos ficheros (para demostrar que puede) la clave está en memoria. Un dump de memoria del proceso la tiene dentro. Simplemente es un poco de paciencia con el desensamblado de código para pillarla.
#35
Puede usar múltiples claves.
#35 igual la clave está cifrada también
#67 hasta que el cifrado homomórfico sea práctico el procesador tiene que acceder a ella (tarde o temprano... Si está cifrada tiene que descifrarla el procesador.. vamos puedes ir hasta el infinito). imagino que los expertos en seguridad sabrán la razón...
Una pregunta, desde el desconocimiento... cuando dicen "ataca a una vulnerabilidad samba"... ¿lo hacen para desviar la atención al mundo linux, por no querer decir - creo - CIFS (que es el nativo de windows)???
Un saludo
#43 ¿dicen samba? Mal dicho. Es una vulnerabilidad de la implementación del protocolo SMB en algunos Windows, ya parcheada.
Samba también implementa SMB pero no comparte código.
El puto protocolo SMB lleva dando por culo desde el principio de los tiempos... así como 25 años teniendo bugs :-|
En serio desactivar SMB/CIFS, sigo sin saber para que narices le vale al usuario medio:

Al menos en Windows 8.1/10

1 - Ir al panel de control

2 - Programas y características

3 - En la izquierda "Activar o desactivar las características de Windows"

4 - Desmarcar "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS"

5 - Aceptar

Salu2
@Stash Ya te lo dije en www.meneame.net/c/21738103

Una sola clave de encriptación ;)
#57 léelo bien. Esa no es la clave de cifrado sino de un zip de payload.
#61 #63 Como quieras, pero la clave de cifrado es la misma para todos los pcs*. Joder, que eres sysadmin, yo no, pero algún conocimiento tengo.

Parece mentira que no sepas como funcionan las mierdas estas siendo sysadmin :-P

* Había por lo menos 3 monederos, así que habría por lo menos 3 claves de cifrado.
#74 A ver, el cifrado no se hace con una clave así. Es RSA.
Son cuando menos 512 bytes pero habitualmetne son de 1024 a 2048

Esa clave salta en unas horas en una ataque de fuerza bruta en determinados sitios. De hecho fíajete que ya es pública.
Esa clave no sirve para descifrar los archivos.
En los ataques que hemos tenido en uno se ha pagado y la calve es un chorizón :hug: asín de largo
#57 Lee además esto que parece que me da la razón...
#63 como consigues poner enlaces con texto?
#70 pones el enlace y justo a continuación un único espacio y el texto que quieres enlazar encerrado en corchetes dobles.
Más o menos así( hay espacios a propósito mal entre http y : )


http : //www.google.com [[Texto del enlace]]


Quedaría así:

Texto del enlace
#72 gracias! No sabía que en Menéame permitían eso
"Desencriptado".

Perdonadme, pero es que me suena tan mal ...
Venga chema a instalar el windows defender
El zip no está encriptado. Es una password común y corriente. Negativo por inducir a error tratando de hacer creer que es la key para desencriptar los archivos wncry.
comentarios cerrados

menéame