viernes, 19 de mayo de 2017

Fé de erratas 1, WannaCry, wireless decript y demás

Llevo ya tiempo escribiendo éste blog, durante el proceso he tenido varios errores que he afirmado como válidos en el momento por no contrastar información o no hacer pruebas de Sofware o Hardware debidamente.

En este artículo enumeraré los errores, sus posibles soluciones y, en el caso de errata sin solución enumeraré en lo que he fallado. 



En el reciente artículo del ransonware wannacry, dije que no se puede desencriptar el disco, ya que con la información que trabajé fue bastante más anterior al artículo y no me molesté en buscar info más reciente. Dicho esto intentaré explicar lo más conciso posible como desencriptar archivos si a tí te ha afectado dicho Malware. Me basaré en un artículo recientemente publicado por Chema Alonso, experto en Cyberseguridad, ejecutivo en Telefónica y fundador de la empresa subcontratada de Telefónica, Eleven Path.

-> Artículo de Chema

**AÑADIR NO ES POSIBLE O DE MOMENTO RECUPERAR TODOS LOS ARCHIVOS**

La solución no es simple, pero si se aplica correctamente, podrás recuperar las siguientes extensiones de archivos que para los que trabajamos con ficheros de texto y archivos de bases de datos nos puede resultar muy útil. Aquí la lista completa de archivos recuperables con éste método.

•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx

Y aquí los archivos exentos de WannaCry:

  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.

Y quizás la forma más simple de recuperar los archivos sería tener una copia de seguridad o en la nube o en un disco duro externo pero si nuestra nube no está protegida contra este tipo de ataques será inútil intentar recuperar algo de la forma tradicional.

Para salvar archivos, afectados por WannaCry nos podríamos fijar en que dichos archivos van a para a la carpeta %temp% eso significa que después de la encriptación, manda los ficheros encriptados con sólo una extensión cambiada (.WCNYT) lo que significa es que los archivos de esta carpeta serán ficheros temporales los cuales (previamente con el malware fuera del pc) se podrán desencriptar con un simple cambio de nombre.

**WANNACRY SE PODRÁ ELIMINAR CON LA SIGUIENTE HERRAMIENTA LIBERADA POR ELEVEN PATH EN HITHUB, AQUÍ UN VÍDEO EXPLICATIVO



En siguientes artículos iré enumerando más erratas en este blog y como solucionarlas con el fin de ser lo más instructivo posible y que no os confundáis con la práctica de las técnicas aquí mencionadas.



Fuentes: http://www.elladodelmal.com/2017/05/como-recuperar-ficheros-afectados-por.html

martes, 16 de mayo de 2017

¿Qué es y cómo funciona el Ransomware que ha hecho tembar medio mundo?

Esta semana se ha venido comentando mucho la noticia sobre el Ransomware que ha afectado a importantes empresas y equipos varios funcionando con Windows 10, en este artículo intentaré explicar como funciona.



Este Malware, conocido como WannaCry, se dedica a encriptar los archivos del disco duro de la víctima o víctimas (si hablamos de red Local como en el caso de telefónica) y pedir un rescate en Bitcoins. El Malware funciona através de una brecha de seguridad de la pasa actualización de Windows 10 haciendo así que las máquinas que abran el archivo infectado en cuestión y no tengan sus sistema Windows actualizado debidamente se infecten a través de ese fallo de seguridad.

Normalmente estos archivos infectados se transmiten mediante Spam, el funcionamiento es simple; te llega un correo supuestamente venigno con cualquier tontería sobre cualquier cosa al azar, tu abres el zip, el zip activa exploits y boilá tus archivos están encriptados y la única forma de desencriptarlos será pagar el rescate. Por desgracia.


La única recomendación que se podría dar en el caso de sufrir este ataque, aunque sé de buena mano que los que visitáis este blog sois cautelosos, sería desconectar el disco duro y esperar a que se liberara al mundo algún tipo de software que permitiera desencriptar los archivos que encriptó el Malware.

No solo Telefónica fue afectada en este ataque

No solo telefónica salió mal parada de este ataque muchas empresas Españoles e internacionales de menor importancia salieron escaldadas de este Malware. Empresas como Gas Natural y otras importantes, hasta gente de a pie fueron las afectadas como muestra este comunicado el ataque se distribuye a través de comandos SMB que hace que el Malware se distribuya a través de equipos de la misma red Windows.

El principal problema, como he comentado antes es el '0 Day' que publicó y corrigió Windows en la última actualización cosa que utilizaron los cyberdelincuentes para hacer de las suyas.

Sistemas infectados

Entre los sistemas infectados pueden estar Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016, como afirma el informe.

-> Comunicado de la CNN-CERT

-> Fuente