Inicio >> noticias >> 2017 >> Avast analiza el ransomware WanaCrypt0r 2.0 que ha infectado a NHS y Telefónica.

Avast analiza el ransomware WanaCrypt0r 2.0 que ha infectado a NHS y Telefónica.

El ransomware que ha infectado a Telefónica y a los hospitales NHS se está distribuyendo agresivamente, con más de 50.000 ataques hoy.

Hoy hemos observado un pico muy elevado de ataques del ransomware WanaCrypt0r 2.0, con más de 57.000 detecciones en lo que llevamos de día. De acuerdo con nuestros datos, el ransomware se está centrando, principalmente, en Rusia, Ucrania i Taiwán, pero ha conseguido infectar grandes instituciones, como los hospitales de Inglaterra y la empresa española de comunicaciones, Telefónica.

En febrero observamos la primera versión de WanaCrypt0r y ahora este ransomware está disponible en 28 idiomas diferentes, desde búlgaro a taiwanés. Hoy, a las 8 am CET, observamos un incremento de la actividad, que rápidamente escaló en una distribución masiva, empezando a las 10 am.

El ransomware modifica la extensión del archivo afectado a “.WNCRY”, por lo que un archivo infectado se parecerá a, por ejemplo, algo así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también son marcados con un “WANACRY” al principio del archivo.

El ransomware añade las siguientes notas de rescate en un archivo de texto:

Nota de recate de WanaCrypt0r 2.0

Además, el secuestrador pide $300 en bitcoins. El mensaje que se muestra en pantalla contiene instrucciones sobre cómo pagar el rescate, una explicación de lo sucedido y una cuenta atrás.

Instrucciones sobre cómo pagar el rescate para WanaCrypt0r 2.0

Adicionalmente, el fondo de pantalla de la víctima se cambia por la siguiente imagen:

Fondo de pantalla de la víctima de WanaCrypt0r 2.0

El ataque muestra, una vez más, que el ransomware es una herramienta poderosa que puede utilizarse tanto para usuarios como para empresas. El ransomware se vuelve particularmente molesto cuando infecta instituciones como hospitales, donde puede poner en riesgo la vida de los pacientes.

Vector de infección: WanaCrypt0r 2.0

WanaCrypt0r 2.0 se suele distribuir en los PC gracias a un exploit que Equation Group, un grupo sospechoso de estar vinculado a la NSA, utilizó para sus sucios negocios. Un grupo de hackers llamado ShadowBrokers ha robado las herramientas de hacking de Equation Group y las ha publicado. Tal y como ha confirmado el analista de seguridad Kafeine, el exploit, conocido como ETERNALBLUE o MS17-010, probablemente fue utilizado por los cibercriminales que andan detrás de WanaCrypt0r y se trata de una vulnerabilidad Windows SMB (Server Message Block, un protocolo de transmisión de archivos).

Avast detecta todas las versiones conocidas de WanaCrypt0r 2.0, pero recomendamos a todos los usuarios de Windows que actualicen su sistema con las últimas actualizaciones disponibles.

 

Fuente: blog.avast.com