En los últimos días hemos podido leer mucho sobre WanaCrypt0r. Este es un ransomware de origen chino que ha ganado una gran popularidad por utilizar una vulnerabilidad en Windows para ser capaz de infectar todos los ordenadores conectados a una misma red local en grandes compañías como Telefónica. Debido a la gran repercusión de este ransomware, y a la amenaza que ha supuesto para todos los usuarios, varios expertos de seguridad han creado distintas herramientas con las que protegerse del ransomware, siendo una de las más simples pero efectivas TearSt0pper.
TearSt0pper es una nueva herramienta desarrollada por Rendition Infosec pensada para proteger a los sistemas de este peligroso ransomware. Mientras que la mejor forma de protegerse de él es actualizando nuestro Windows, en muchas grandes empresas, las actualizaciones no pueden instalarse desde el momento cero al tener que comprobar que no causan problemas de compatibilidad y, una vez todo comprobado, se instalan progresivamente en los ordenadores, por lo que pueden pasar más de 2 o 3 meses hasta que se instalan unos parches determinados.
TearSt0pper se puede configurar muy fácilmente como una «directiva de grupo» para proteger todos los ordenadores de una red desde el servidor principal y, una vez esté habilitada, este ransomware ya no será capaz ni de infectar un sistema ni de utilizar la conocida vulnerabilidad del protocolo SMB para distribuirse por la red.
Debemos tener en cuenta que TearSt0pper no soluciona las vulnerabilidades, sino que simplemente se encarga de que el ransomware no cifre los archivos. Si esta herramienta llega a ejecutarse significa que el ordenador ha sido explotado, aunque no pase nada y el malware sea bloqueado. Además, es muy probable que en las próximas horas aparezcan nuevas configuraciones para nuevas variantes de ransomware que este simple «parche» no sea capaz de mitigar.
Si queremos proteger los ordenadores de nuestra red de WanaCrypt0r, podemos descargar TearSt0pper de forma gratuita desde el siguiente enlace. Debemos tener en cuenta que esta herramienta no aplica ninguna protección permanente, por lo que, en caso de reiniciar nuestro ordenador, por ejemplo, tendremos que volver a ejecutar su binario, como administrador, para volver a protegernos de la amenaza.
WanaCrypt0r, el gusano convertido en ransomware
WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY… todos son nombres válidos para este ransomware, sin embargo, por sí mismo él solo hubiera podido infectar un solo ordenador, ya que no cuenta con módulos de distribución. Sin embargo, este ransomware se distribuyó junto a un gusano, el cual se encargaba de la distribución del ransomware a todos los ordenadores de la misma red.
Este gusano incorporaba el conocido exploit para explotar la vulnerabilidad EternalBlue, la vulnerabilidad explotada por la NSA (y, por negligencia, responsable de todas las víctimas de este ransomware), gracias al cual fue posible hacer que, desde un solo ordenador, llegaran a infectarse centenares de ellos conectados a la misma red local, como ocurrió en telefónica.
La empresa de seguridad MalwareBytes nos permite conocer al detalle este gusano desde el siguiente artículo. Además, si queremos más información sobre el ransomware, en el siguiente repositorio de GitHub podemos encontrar una guía con todo lo que hay que saber en cuanto a su funcionamiento y mitigación.
¿Qué opinas sobre WanaCrypt0r y las distintas herramientas de mitigación de la amenaza?