Ahora lo van a denunciar los del wanna cry por joderles el dominio

Entonces... El día que este hombre deje de pagar el dominio el virus volverá a extenderse? (Si no se ha parcheado Windows, digo)

#5 No he encontrado cual es el dominio en cuestión, entiendo que se acabará conociendo. Ante eso en redes empresariales se puede añadir manualmente la entrada en los servidores DNS internos y obligar a los ordenadores de empresa a consultar esos servidores y no otros, en cuyo caso ya no sería relevante lo que ocurriera con el dominio de Internet.

#6 O para seguir con la investigación, para ver que ocurría y si de ahí podía obtener más información para seguir investigando.

Otro podría haber visto el dominio en el código y no molestarse en contratarlo y pagar por ello y dirigir su investigación en otra dirección.

#1 “chiste“ que viene de una historia real.

#10 De muchas historias reales, mi abuelo explicaba una anécdota personal en esa línea.

#11 Cuéntanos más

#10 Como el de aquel abogado.

Y qué evita que hagan otra versión del virus sin consulta a ese dominio?

Para el que tenga interes, el análisis de Cisco en el sistema de TALOS:

blog.talosintelligence.com/2017/05/wannacry.html

Ahi mencionan el tema del dominio y como se descubrió en los honeypots.

Bueno, esto es más bien un "paleativo". Los creadores de este virus seguro que van a sacar un nuevo parche para tapar ese "bug" (es decir, sacar una nueva versión del virus sin ese control)....

#12 Les habían cerrado la fábrica y mi abuelo era el jefe de taller, el propietario de escondidas quería poner en marcha una maquina de la fábrica para un pedido específico pero la máquina no estaba calibrada así que llamó a mi abuelo. Quien vio que el propietario sacaría una buena tajada y solo le quería pagar por horas, así que le exigió una pasta gansa para calibrar la máquina a lo que el propietario se subió por las paredes por saber que el trabajo en sí era girar un tornillo y es cuando mi abuelo le explicó más o menos eso de que para lo que pagaría no era para que alguien girase un tornillo si no a alguien que sabe exactamente hasta donde hay que girarlo.

Una historia donde no hay buenos, solo víctimas y aprovechados, también mi abuelo que era ambas cosas (no iba a cobrar lo que le debían tras cerrar el taller).

#16 Pero la firma del virus ya se conoce y por lo tanto cuando los antivirus se actualicen deberían detectarlo como tal. Vamos, que no será tan fácil como cambiar el dominio en cuestión y volver a lanzar.

www.youtube.com/watch?v=zDvAS_Af-uM

#16 Y los que lo han sufrido parchearán también sus sistemas y posiblemente hasta Microsoft tendrá que parchear Windows XP. Esto es muy gordo, debe ser un punto de inflexión en la seguridad informática.

#7 el dominio es: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Lo leí esta mañana en el blog de malwarebytes: Main functionality

WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).

The WinMain of this executable first tries to connect to the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. It doesn’t actually download anything there, just tries to connect. If the connection succeeds, the binary exits.

This was probably some kind of kill switch or anti-sandbox technique. Whichever it is, it has backfired on the authors of the worm, as the domain has been sinkholed and the host in question now resolves to an IP address that hosts a website. Therefore, nothing will happen on any new systems that runs the executable. This only applies to the binary with the hash listed above; there may well be new versions released in the future.
blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wa

#5 Hay que corregir el agujero sino pueden extenderlo variando el dominio.

Como el mismo dice es algo temporal, los cabrones estos solo tienen que cambiar un poco el código y volver a lanzarlo, ya sabia yo que eso de soltar al gran publico los agujeros de la NSA tendría consecuencias.

Ahora es cuando una empresa de seguridad puntera le hace un contrato millonario y le regala un gorro de lana, no?

#1 pues yo no me lo creo que activando un dominio se pare un virus. Yo sospecharía de este tío. Si no esta implicado, esta claro que los creadores se han asustado del alcance y lo han parado.
El daño que han hecho es muy grande. Vann a ir a por ellos y los van a trincar

#1 Es un dicho basado en un hecho historico de Nicola Tesla, que cobró 10.000 dolares de la época por trazar una linea con tiza cuando trabajaba para General Electric al pedir que desglosara la factura.
Marca de tiza en el generador: 1 dólar. Saber dónde hacer la marca 9.999: dólares. Total a pagar: 10.000

#1 fue accidental porque no se esperaba eso. Lo que no quiere decir que fuera algo fácil, que es lo que parece que han dicho según tu respuesta.

Un +10 para ese tío.

#3 Pero tenía la sospecha de que eso iba a funcionar o por lo menos arrojar algún resultado; eso no es accidental, ha sido una prueba empírica y le ha funcionado. Aquí la serendipia no tiene nada que ver, que por algo es investigador de ciberseguridad. Estoy #1.

#13 El que tengo aquí colgado.

#13 El que tengo aquí colgado.

#26 Bueno, que tu no te lo creas no afecta en absoluto al hecho de que es perfectamente posible detener el virus mediante ese interruptor.

Pero bueno, la gente cree en un señor barbudo vestido de blanco y no pasa nada

#14 La actualización de Windows.

#23 pero si lleva corregido desde marzo!

#9 #6

Creo que ambos teneis razon.

El heroe no fue accidental, estaba intentando hacer algo.

Pero la solucion si.

Y ha salido bien, pero... y si en lugar de un interruptor para detener la infeccion era un interruptor para borrar pruebas????

Te marcas un PP a nivel mundial

#21 Sí? Qué va a cambiar?

#21 la vulnerabilidad es en windows 10. Los que usan xP están a salvo, si no me equivoco.

#4 Visto así hacer cualquier cosa en informática es prácticamente gratis...lo que vale es el tipo que se lo mira y se le ocurre

#27 casi, era Steinmetz: www.alpoma.net/tecob/?p=8111

#30 Del prestigio se come

#42 Los equipos de la NHS britanica funcionan con Windows XP. www.theinquirer.net/inquirer/news/2479315/90-per-cent-of-nhs-trusts-ar
Windows 10 ya fue parcheada hace unos meses.

#33 O podía haber provocado doblar el precio del rescate, o dividir por la mitad el tiempo que hay para pagarlo, o activar un nuevo vector de ataque latente que afectase a servidores Linux. Ha reconocido que no conocía las consecuencias, por lo que el resultado podía haber sido ninguno significativo, convertirse en villano accidental o en héroe accidental.

#35 Y otra vez... Pero no hay parche para Windows$ 7 (ni para el descatalogado Window$ XP); además en entornos empresariales ya se ha repetido varias veces que no se pueden actualizar los equipos sin pasar antes por procesos de verificación con el fin de comprobar que las actualizaciones no compromenten otro software crítico instalado (realizado a medida), etc... Aquí tienes un buen resumen del destrozo montado :
_{www.eldiario.es/cultura/tecnologia/Ransomware-virus-atacado-Telefonica
www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=}

#32 Windows XP no tiene soporte desde 2014. En mi curro tenemos que tener alguno por necesidad, tenemos un par de aplicaciones que no podemos cambiar que no tienen actualizaciones desde hace mucho. Esos equipos están aislados de la red por seguridad.

#41 Conciencia básicamente. Yo me peleo a diario para intentar meter en la cabeza que las medidas más básicas de seguridad no son para tocar los huevos, es que puede pasar cualquier cosa y el punto más vulnerable de la seguridad informática es el interface silla-teclado hecho de carne.

#50 Sí, les mandaran un email diciendo que no habrán archivos de emails que no conocen (como ya se ha hecho mil veces antes) y listo. No va a cambiar nada.

#1 Hombre tiene mérito como buen observador. No creo que mucha gente tuviera la paciencia de observar lo que hace el rsmsonware cuando tu empresa está patas arriba y eres uno de los encargados de "hacer" algo. Muy buen trabajo tío. En mi empresa corrió el acojono y todo IT apago los PCs Nos quedamos los de desarrollo expectantes a ver qué pasaba. A las 14.40 aprochamos para hacernos un telefónica y salir corriendo para casa

De momento muchas infecciones (de hecho el autor hablaba de miles de peticiones por segundo) pero tan solo 53 rescates han sido pagados en las 3 direcciones de bitcoin que fueron utilizadas: 13 + 17 + 23

blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Eso son 10.601342 BTC o lo que es lo mismo, unos 16617 EUR.

#47...o podía haber detenido el sistema de refrigeración de todas las centrales nucleares del mundo, o enviado la señal "Tora Tora Tora" a una civilización bélica alienígena, y así hasta ∞, pero no, lo ha detenido y esa es la única realidad.

#54 Correcto, y me alegro, y por ello se le califica de héroe accidental, por méritos propios y a buena honra.

Tres hurras por él.

#25 Sí es iñaki Urdangarin, Telefónica le pone un piso.

#55 Sigo sin creer en lo accidental, pero vale, para ti la burra.

#37 mi dentista?

#31 #14 Y tendrán que encontrar y usar otro exploit porque para este todos el mundo se va a dar prisa en aplicar el parche, probado o no.

#53 De momento la máquina infectada va seguir infectada, y por lo que entiendo los afectados tienen 3 o 4 días para no perderlo todo. Así que esos números van a subir.

#33 #47 Para estas cosas se usan los laboratorios. Coges un dispositivo infectado, lo metes en una maqueta copn tu propio DNS, que configuras como quieres, das de alta el dominio en tu DNS asilado en tu maqueta aislada y pruebas.
Pero vamos que ha salido bien así que un heroe.

#35 Supongo que sabes que para algunos sistemas operativos no salio el parche.. por ejemplo Windows7.

#15 Muchas gracias. Esto es lo que estaba buscando, y es la mejor explicación de qué cogno hace el virus.

#63 goto #61

#61 Por lo menos pon el enlace para que pueda verse la fecha de esos parches. Goto #44.
En mi primer enlace en #48 ayer informaban claramente de que no se diponía de parche para Window$ 7.
Dos meses no es tanto tiempo cuando se habla de un parque de PCs importante en grandes empresas, además los parches de seguridad (hasta ayer mismo) no parecian una prioridad de las urgentes.
_{(CC #19)}

#37 Claro que es posible que activando un dominio se pare el virus. Pero tiene que estar preparado para ello. Lo que no me creo es que alguien se halla dado cuenta, halla registrado el dominio y ahora vaya de héroe. Lo que digo es que lo han parado porque se han asustado de la repercusión que ha tenido.

_{Edit #67.} Para #61. Goto www.meneame.net/c/21739857. (Era el comentario 44 de otro hilo).

#68 ya lo explicaron muy bien. El código del virus comprueba si el dominio está Online. Si no, continúa la ejecucion. Si esta online, la para. Es lo que se llama en desarrollo un interruptor o failsafe. El dominio no tiene que estar preparado para nada y es agnóstico.

La forma de saberlo es haciendo ingeniería inversa en la decompilacion y viendo las conexiones que intenta hacer el bicho.

#48 Excepcionalmente MS ha sacado un parche para XP, W8 y WS 2003.

clipset.20minutos.es/microsoft-publica-el-parche-de-windows-xp-para-wa

#71 Buen aporte.

Supongo que a medida que pase el tiempo se sabrá más, quién o quienes fueron los autores del ransomware, desde cuando estaba en los ordenadores y cual fue el motivo que desencadenó el ataque.

#70 Que si, que se puede. Y yo he hecho cosas similares, para asegurarme que me paguen por trabajos que he dejado funcionando en los servidores de mis clientes. Pero lo hago contra un dominio mío, que ya tengo adquirido de antemano. Y por trabajos que no son ilícitos y he facturado legalmente.

Lo que no me creo es el royo del tio que se dio cuenta y compro el dominio y se apunta las medallas.

#74 lo tuyo es ilegal

#75 No, porque yo les estoy vendiendo un servicio. Y tengo que poder cortarlo si no me pagan.

Lo que es ilegal es tardar 3 meses es pagarme una factura. Porque no veas lo que jode tener que pagar el IVA por algo que no estás seguro si vas a cobrar.

#19 Una cosa es lo que indiques que hay que hacer y otra es lo que te hagan caso. A Chema tiene pinta de que le ha pasado eso, a esos niveles tan gordos tu puedes mandar hacer y que luego no te hagan caso. Yo por ejemplo tengo asegurada, de la forma que mejor me ha parecido, unos casi 40 ordenadores, y en mi caso si que tendria responsabilidad si pasa algo porque he hecho y deshecho lo que me ha dado la gana.

#70 Me creo mas bien que sea una vacuna para que no ataque a los delincuentes. Los malos se vuelven inmunes a su propio monstruito simplemente con poner ese dominio en el hosts apuntando a la maquina local. Así si se infectan ellos mismos, al resolver el dominio apunta a una maquina que está en linea y la ejecución se para.

#23 ¿Cambiando? Yo soy el malomalisimo que ha marcado ese gol y sé que el gusano funciona, y ahora mismo estoy liberando otra versión sin ese checkeo de dominio. Lo cambio por un check de una fecha dentro de 1000 años, o por algo con claves criptograficas asimetricas... o a tomar por culo la moto, sin seguridad. Que me paguéis mis 300 dolares, ostia coño ya, esto es un secuestro y no os va a salvar ni Liam Neeson!

#26 si, yo creo que habría que dispararle y preguntar después

#78 ¿pero como va a atacar a los delincuentes si ellos son los que tienen la clave de cifrado? Os montáis unas películas de impresión.

#81 Sigo diciendo lo mismo, puedes ser un gran consejero y con el monton de peña, ordenadores, departamentos, etc etc... de ahí a que te hagan caso todos. En la cadena de mandos al final la culpa puede estar en los jefes de departamento que no han hecho lo que se les indicaba.

#51 habrán? OMG

#17 a mí me pasó lo mismo en los tiempos del Ms dos. cobre dos mil pesetas por hacer un backup qué consistía en escribir el comando y luego ir insertando discos cuando me lo pidiese. el cliente se quejó de que le cobrase esa cantidad por tan solo escribir una línea. yo le dije que no, que era por saber qué línea había que escribir, más mi tiempo, y el desplazamiento

#74 perro viejo. Yo lo hago siempre. suelo poner por código que no pueda emitir facturas a partir de tal fecha. si hay algo que le va joder de verdad es no poder cobrar a sus clientes. y pagan. Vaya si pagan

#82 qué atrevida es la ignorancia (informática)

#88 no tiene límites. No hay más que leer cualquier artículo en la prensa estos días. Hala, voy a programarme un interface gui en basic para trackear ips.

#6 El artículo de theguradian en #3 hablá de todo esto: como trabaja en una empresa de seguridad en la red siguió el protocolo para registrar el dominio que estaba intentando contactar el malware para rastrearlo e intentar entenderlo más a fondo. En medio del proceso incluso alguien lo acusó de haber sido el causante de que el malware se expandiera a través de ese dominio. Al final quedó claro que el domino era el interruptor de apagado.

#82 #88

Opcion A, dimitri se infecta con su virus y tarda media hora en desinfectarlo con la clave que tiene
Opcion B, dimitri no se infecta con su virus y no pierde ni un segundo.

Peliculas? Yo lo llamo buena gestión del software...

Que debates más absurdos, el mismo dice que fue accidental pero aquí discutimos si fue o no lo fue. El tipo quería recopilar datos utilizando ese dominio al que se intentaba conectar el malware pero resulta que si la conexión es exitosa (y el dominio existe) entonces se detiene.

No se trata de que no tenga mérito, pero accidental, si fue.

#70 O cogiendo un ordenador infectado, meterlo en una red en la que está el solo y analizar las peticiones que hace. Al ver que hace peticiones a ese dominio está claro que ese dominio tiene alguna relación.

#4 De 10,60$ nada. Ese hombre tendrá su salario o sus ingresos y en general en seguridad se cobra bastante. Mi compañero de piso trabaja en seguridad, y le da para hobbies relativamente caros.

De todas maneras los ingenieros de red deberían poner una entrada de este dominio en sus DNS, por si alguien se olvida de renovarlo.

#79 El problema de ponerlo para dentro de 1000 años es que seguramente los ordenadores de entonces no se parecerán a los de hoy, los ordenadores infectados se habrán convertido en chatarra, y que a conciencia o accidentalemente la vulnerabilidad que les permitía extenderse haya desaparecido, e incluso la carga que lleve sea inofensiva porque el sistema operativo sea mucho más robusto que eso.

#18 Es fácil cambiar la firma. DIgamos que según John McAfee, el del antivirus McAfee (antes de venderlo a Symantec) los antovirus están obsoletos y no sirven para nada. Se ha desentendido de la informática para dedicarse a tiempo completo a ser un millonario excéntrico.

Obviamente el antivirus algo hace, Es bastante bueno en detectar virus ya conocidos, y variantes próximas a estos.

#95 Tu sabes que en la Bios le puedes poner la fecha que te salga de las narices, y desactivarle lo de coger la fecha online, y la mayoría de las webs seguirán funcionando, ¿no?

Digo lo de 1000 años como puedo decir que la maquina tenga un dispositivo de sonido PnP con un numero de serie acabado en 14, la cosa es tener algo que marque al equipo como "a mi no me infectes" y que sea mas retorcido de parar que "paco, dame la tarjeta de crédito que voy a registrar un dominio". Y como no tapen el boquete rápido vendrá alguien sin escrúpulos y lo hará...

#83 #81 O tener ordenadores de repuesto apagados o apagados porque la persona que los usa habitualmente está de vacaciones. O que se usen a turnos y no se suelan reiniciar casi nunca, por lo que el aprche estád escargado pero aún no aplicado. Puede haber varias causas por las que los parches no estén al día, aunque estén casi al día.

El tema es que basta un equipo infectado que monte las unidades de red para que estas se cifen y jodan a un departamento.

#97 Es que estuve pensando en las consecuencias de dejar algo programado para demasido tiempo en el futuro y llegué a la conclusión de que cuanto más adelante sea más cosas pueden haber pasado que lo hagan irrelevante.

Y si, en la BIOS si es viejuno, en la UEFI si es moderno. Pero ese no es el tema. El agente malicioso podría coger la hora de la red aunque tu equipo no esté en hora.

En este caso imagino que estaba pensado como ciberarma para enviar el payload que fuera. En este caso el payload era poco discreto, porque se dedicaba a pedirte dinero, directamente, lo que lo revela al usuario, y además le jode la vida y no le deja trabajar. Podría haber sido bastante más sigiloso dejando algo para espiarte, o dejarlo durmiendo y activarlo mediante la creación de un dominio. Parece algo pensado para atacar a corporaciones o a organizaciones, y para eso necesitan un interruptor. por si los otros se rinde, no para defenderse ellos mismos de su creación.

La condición de parada se tiene que poder lanzar de manera externa, no tiene que ser una característica de tu equipo que no pueden controlar los dueños del malware. Quieren seguir teniendo el control. En el caso de lanzar algo diferente y no un cifrado de tu disco, sino un software espía, tienen que poder recibir los datos, o desactivarlo o hacer que se baje un nuevo contenido malicioso para hacerte daño de otra manera... en fin, que como herramienta de ataque necesitan poder controlarlo a distancia.

#99 " Pero ese no es el tema. El agente malicioso podría coger la hora de la red aunque tu equipo no esté en hora."

Al reves. Si yo soy el chungo y le pongo una condición que diga "no infectes a un equipo que tenga una fecha posterior a 2100", lo siguiente que hago es poner la fecha de mi equipo en 12017, para que no me infecte *a mi*. Es justamente para eso para lo que hicieron lo del dominio: te vas a tu fichero hosts o al servidor proxy DNS que tengas en tu red local y le configuras que ese dominio apunta a 127.0.0.1 para que si estas trabajando en el código y lo lanzas por error, no te tires media hora deshaciendo la cagada. Simplemente se para y ya...

El seguro por DNS es demasiado fácil de parchear a nivel global, si fuese algo mas jodido como "pon una fecha super rara en el equipo" no nos salvamos ni dios hasta que todo estuviese parcheado con updates, que lleva mucho mas tiempo...