Un experto en seguridad se ha convertido en un "héroe accidental" tras gastar unos pocos dólares y registrar un dominio inexistente, que hace que el ransomware WannaCry deje de extenderse. "Vi que el malware tenía codificadas consultas a un dominio muy largo, que no estaba registrado", asegura. "Si WannaCry ve que ese dominio está activo, deja de extenderse". Aparentemente, los creadores del malware habían creado este interruptor para poder detener su avance. Cisco ha confirmado que la extensión se ha detenido por este descubrimiento.
|
etiquetas: wannacry , ramsonware , interruptor
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-
Otro podría haber visto el dominio en el código y no molestarse en contratarlo y pagar por ello y dirigir su investigación en otra dirección.
blog.talosintelligence.com/2017/05/wannacry.html
Ahi mencionan el tema del dominio y como se descubrió en los honeypots.
Una historia donde no hay buenos, solo víctimas y aprovechados, también mi abuelo que era ambas cosas (no iba a cobrar lo que le debían tras cerrar el taller).
www.youtube.com/watch?v=zDvAS_Af-uM
Lo leí esta mañana en el blog de malwarebytes: Main functionality
WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).
The WinMain of this executable first tries to connect to the website www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. It doesn’t actually download anything there, just tries to connect. If the connection succeeds, the binary exits.
This was probably some kind of kill switch or anti-sandbox technique. Whichever it is, it has backfired on the authors of the worm, as the domain has been sinkholed and the host in question now resolves to an IP address that hosts a website. Therefore, nothing will happen on any new systems that runs the executable. This only applies to the binary with the hash listed above; there may well be new versions released in the future.
blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wa
El daño que han hecho es muy grande. Vann a ir a por ellos y los van a trincar
Marca de tiza en el generador: 1 dólar. Saber dónde hacer la marca 9.999: dólares. Total a pagar: 10.000
Pero bueno, la gente cree en un señor barbudo vestido de blanco y no pasa nada
Creo que ambos teneis razon.
El heroe no fue accidental, estaba intentando hacer algo.
Pero la solucion si.
Y ha salido bien, pero... y si en lugar de un interruptor para detener la infeccion era un interruptor para borrar pruebas????
Te marcas un PP a nivel mundial
Windows 10 ya fue parcheada hace unos meses.
www.eldiario.es/cultura/tecnologia/Ransomware-virus-atacado-Telefonica
www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html?m=
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Eso son 10.601342 BTC o lo que es lo mismo, unos 16617 EUR.
Tres hurras por él.
Pero vamos que ha salido bien así que un heroe.
En mi primer enlace en #48 ayer informaban claramente de que no se diponía de parche para Window$ 7.
Dos meses no es tanto tiempo cuando se habla de un parque de PCs importante en grandes empresas, además los parches de seguridad (hasta ayer mismo) no parecian una prioridad de las urgentes.
(CC #19)
La forma de saberlo es haciendo ingeniería inversa en la decompilacion y viendo las conexiones que intenta hacer el bicho.
clipset.20minutos.es/microsoft-publica-el-parche-de-windows-xp-para-wa
Lo que no me creo es el royo del tio que se dio cuenta y compro el dominio y se apunta las medallas.
Lo que es ilegal es tardar 3 meses es pagarme una factura. Porque no veas lo que jode tener que pagar el IVA por algo que no estás seguro si vas a cobrar.
Opcion A, dimitri se infecta con su virus y tarda media hora en desinfectarlo con la clave que tiene
Opcion B, dimitri no se infecta con su virus y no pierde ni un segundo.
Peliculas? Yo lo llamo buena gestión del software...
No se trata de que no tenga mérito, pero accidental, si fue.
De todas maneras los ingenieros de red deberían poner una entrada de este dominio en sus DNS, por si alguien se olvida de renovarlo.
Obviamente el antivirus algo hace, Es bastante bueno en detectar virus ya conocidos, y variantes próximas a estos.
Digo lo de 1000 años como puedo decir que la maquina tenga un dispositivo de sonido PnP con un numero de serie acabado en 14, la cosa es tener algo que marque al equipo como "a mi no me infectes" y que sea mas retorcido de parar que "paco, dame la tarjeta de crédito que voy a registrar un dominio". Y como no tapen el boquete rápido vendrá alguien sin escrúpulos y lo hará...
El tema es que basta un equipo infectado que monte las unidades de red para que estas se cifen y jodan a un departamento.
Y si, en la BIOS si es viejuno, en la UEFI si es moderno. Pero ese no es el tema. El agente malicioso podría coger la hora de la red aunque tu equipo no esté en hora.
En este caso imagino que estaba pensado como ciberarma para enviar el payload que fuera. En este caso el payload era poco discreto, porque se dedicaba a pedirte dinero, directamente, lo que lo revela al usuario, y además le jode la vida y no le deja trabajar. Podría haber sido bastante más sigiloso dejando algo para espiarte, o dejarlo durmiendo y activarlo mediante la creación de un dominio. Parece algo pensado para atacar a corporaciones o a organizaciones, y para eso necesitan un interruptor. por si los otros se rinde, no para defenderse ellos mismos de su creación.
La condición de parada se tiene que poder lanzar de manera externa, no tiene que ser una característica de tu equipo que no pueden controlar los dueños del malware. Quieren seguir teniendo el control. En el caso de lanzar algo diferente y no un cifrado de tu disco, sino un software espía, tienen que poder recibir los datos, o desactivarlo o hacer que se baje un nuevo contenido malicioso para hacerte daño de otra manera... en fin, que como herramienta de ataque necesitan poder controlarlo a distancia.
Al reves. Si yo soy el chungo y le pongo una condición que diga "no infectes a un equipo que tenga una fecha posterior a 2100", lo siguiente que hago es poner la fecha de mi equipo en 12017, para que no me infecte *a mi*. Es justamente para eso para lo que hicieron lo del dominio: te vas a tu fichero hosts o al servidor proxy DNS que tengas en tu red local y le configuras que ese dominio apunta a 127.0.0.1 para que si estas trabajando en el código y lo lanzas por error, no te tires media hora deshaciendo la cagada. Simplemente se para y ya...
El seguro por DNS es demasiado fácil de parchear a nivel global, si fuese algo mas jodido como "pon una fecha super rara en el equipo" no nos salvamos ni dios hasta que todo estuviese parcheado con updates, que lleva mucho mas tiempo...