#3 A mi tampoco me conoces, ni a mi pareja, pero te confirmo que es grave, que es un virus gordo y que a las cárnicas subcontratadas por ellos les han hecho desconectar todos los dispositivos que estén conectados a su red.

Llevo casi dos años luchando con los putos ramsonware, son como una puta plaga, ya pueden tener bien configurados los backups, es la única solución.

Me sé de uno que tiene que estar pasándolas canutas.  

#47 La experiencia laboral en lo nuestro me ha hecho valorar los backups y los logs por encima de todas las cosas. Porque estallar, algo va a estallar tarde o temprano.

Mr. Robot a la española

#4 Chema ya ha mencionado el tema: "Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad" twitter.com/chemaalonso/status/862996031906205696

Espero que en unos días use su sinceridad habitual y cuente cual fue el problema (bueno, si le dejan...)

En telefonica (red corporativa) confirmado. Ransomware.

#55 twitter.com/rhormigos/status/863031701089509376



/cc #329 #60

#22 Está afectando a máquinas con Windows 7. Una de las hipótesis es que hay alguna vulnerabilidad que ese virus explota. Me han comentado que una de las cosas que hacen es acceder por RDP y por fuerza bruta obtienen las claves de acceso (de ahí que no estén todos infectados), meten el virus y lo dejan durmiente hasta que "de repente" mandan una orden y se activan todos a la vez. El sistema da un pantallazo azul, se reinicia un par de veces y sale el mensaje de que esta cifrado y pagues. Cifra la parte de datos del sistema, no el sistema en si.

#3 ahora baja alierta de la nube y te explica todo bien

#9 Yo trabajo dentro de Telefónica y se han infectado dos equipos de compañeros.

Están todos los equipos apagados. Ahora mismo la compañía, al menos las tareas que hacemos desde esta central, esta en modo "piloto automático".

Tengo compañeros en AENA. Parece que ahí también les han pedido que apaguen. Ah, y en la Bolsa de Madrid. Esto se pone interesante.

#90 Tío que es en clave de humor, tengo claras las funciones de chema, pero cuando se habla de seguridad y de telefónica o de hacking tiene que salir chema hombre, no te ofusques

#96 Vamos a ver.

Han cifrado los datos de los backups

Si los backups los hacen de una manera medianamente decente, esto es literalmente imposible.

y de todos los discos que estaban montado en los escritorios.

Los cuales deberían estar bajo política de backup también, si son considerados importantes.

Pero aún más ... no saben desde cuándo están infectados. Han dejado el virus durmiente y no saben si durante días , semanas o meses

Eso es irrelevante. Se restaura el último backup válido, que con suerte es de esta mañana, a eso de las 6 ó 7, justo antes de que entre la gente a currar.

Cuando han mandado a toda la gente a casa, por algo será.

¡Porque con todos los datos cifrados no pueden trabajar! Hasta que no se restauren backups no pueden hacer nada.

Así que me temo que, en contra de tu opinión, es grave de narices.

No. Sería grave si no tuviesen backup. Teniendo un backup actualizado es caro (en términos de horas-hombre gastadas), pero no grave.

Me gusta la gente comprometida, buena noticia.

¿Cuándo es la boda?

#99 No, insisto: El que tengas una carpeta compartida con Samba no significa que el virus afecte a Linux.
Significa que tus clientes Windows están infectados y están guardando sus "FICHEROS INFECTADOS" en tu carpeta compartida Linux.
Si se usase Linux en las Workstations no habría pasado nada de esto.

#1 O nada. De momento sólo hay dos tweets de gente que "no conozco".

#43 El Avast estoy seguro de que es el responsable de no pocos infartos: "la base de datos antivirus ha sido actualizada". Un crimen limpio, sin huellas. Cuando llega la familia solo encuentra un cuerpo retorcido en el suelo al lado de la mesa del ordenador y la autopsia no puede achacar el infarto a nada externo.

#24 Aquí la captura del ransom  

#24 y aquí la notificación interna:  

#93 Dijo Chiniwini mirando al vacío dijo mientras jugueteaba con el palillo entre sus dientes y posaba su cerveza sobre la barra.

#9 Es un problema de red interna y no se refiere a red telefonica, el problema debe ser la red donde tienen todo lo delicado, tema administrativo, datos personales y demás que por seguridad estará separada de la red general. Por eso es irrelevante que te vaya bien o mal a ti la conexión.

En cualquier caso la noticia en estos momentos si es dudosa, aunque hay varias confirmaciones no hay ninguna oficial o medianamente seria.

#93 vaya, esperamos que tú lo soluciones rápido

#159 Yo no sé tú pero yo no me arriesgaría ni de coña a restaurar una copia de seguridad que no estuviera limpia del todo. Aunque sean datos sabes perfectamente que el virus se puede quedar ahí y reactivarse desde ficheros que son datos. Porque los "datos" contienen o pueden contener información susceptible de ser ejecutada y atacar otra vez el sistema. Vamos ... lo que te digo creo que es básico.

En segundo lugar ... si han cifrado (como parece que han hecho) discos montados en los pc's, estamos en la misma. Hay que buscar una copia que sea segura de verdad.

Y otra cosa ... digo que es MUY GRAVE ... no catastrófico. Desde luego que supongo que se podrá recuperar pero vamos, no va a ser sencillo ni rápido. De hecho mi información es que la gente de IT está todavía evaluando qué narices van a hacer y tontitos del todo creo que no son.

#48 Que los windows que gestionan tus datos personales más delicados tengan un virus para secuestrarlos no me parece especialmente irrelevante. Pero ten en cuenta que en casos como este lo que nos parezca a ti o a mí es irrelevante porque hay hechos que son incontestables.

#76 Sí es la Sala de Controladores del CNSO de Telefonica, pero está tan photoshopeada que salta a la legua

#22 En mi empresa, trabajamos con Movistar, nos han desconectado y estamos solo con red interna

#36 Si quieres te envío una foto de una sede de Telefónica con todos los PCs apagados y la gente haciendo corrillos.

#93 Vaya utopía. No funciona así, ni en empresas más pequeñas. Sólo las restauraciones de unos cuantos teras en un servidor de ficheros tardan bastante más.

#90 chema, eres tu?

#1 Este virus me saltó a mi anoche.. en principio parecería no tener relación, pero tras buscar he encontrado un gran número de posts desde hace 12-13h que fue cuando a mi me saltó, sobre las 23.00

Meagdive sirve para expandir ransomware así que podríamos estar hablando de algún exploit flash o de reproductores (Ya que solo estaba viendo netflix).

Conseguí borrarlo.

Virus - i.imgur.com/SZF0nWi.png
Info Virus - i.imgur.com/uCtQJsC.png

#1 tranquilos son los del partido podrido borrando las pruebas de sus desmanes, nada de lo que preocuparse

#185 Eso no es lo más probable, ni de coña.

#55 #60 No sé si será real pero acaba de salir en Antena 3

#95 Están evacuando a la gente en Iberdrola. A ver si los hackers se animan y ponen toda la facturación a cero...

#3 El Centro Criptológico Nacional a través de su CERT ha lanzado una alarma por amenaza de ransomware. El mensaje comienza:

ALERTA 
Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas

Publicado el: 12/05/2017
Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red....

#68 esta muy liado haciendo la maleta

#67

Iberdrola también

#218 Jajajajajaaj grande CSI

#46 Nosotros estamos igual. Creemos que es un criptolocker a saco en los cpd

#103 Hostias ¿Amazón? Me acaba de llegar un paquete y todavía no lo he abierto ¿lo abro o no?

#33 He visto un pantallazo de la intranet de Telefónica diciendo que APAGA TU ORDENADOR SI ESTAS VIENDO ESTO básicamente.

Debe haber una liada enorme.

Otro enlace, Voz populi: www.vozpopuli.com/tecnologia/Telefonica-ciberataque-informatico-escala

Las pantallas se han ido a azul y los PCs han comenzado a encriptar todos los discos duros. Automáticamente se ha pedido desde megafonía el apagado de equipos.

Trabajadores del operador aseguran que se trata de un ataque a la red corporativa de Telefónica, extremo que, de momento, no confirman fuentes oficiales.

Otras fuentes del sector aseguran que empresas como KPMG, Cap Gemini y BBVA también han sido atacadas, si bien desde el banco aseguran que todo funciona con normalidad en su sede central.

#290 Sí, los programas eran desde luego menos bonitos, algo menos usables y desde luego tenían una curva de aprendizaje mayor.
Pero el nivel de conocimientos que tenía el usuario medio de el funcionamiento del SO estaba a años luz de los usuarios de ahora.
Trabajo dando soporte a 15.000 usuarios (no yo solo por supuesto) y la mayoría para buscar algo ponen "google" en el cuadro de búsqueda de Google en Firefox. Luego lo buscan en Google.
Es decir, buscan "google" en Google para ir a Google y buscar algo en Google. Y son la mayoría, no un caso aislado.

He tenido llamadas de 45 minutos intentando que una persona que en teoría no accede a una web (intranet), vaya al equipo de otro compañero, deje que el compañero abra la web, apunte la URL, vaya a su PC y escriba la dirección.
45 minutos y no llegamos al paso de apuntar la dirección.
Estamos hablando de personas con estudios universitarios.

#46 #36 #71 En mi empresa usamos Linux. Mierda! Podríamos habernos pasado la mañana de charleta y nos la hemos pasado currando.

Y esto es lo que pasa cuando no se firma el convenio colectivo de los informáticos.

#17 Tampoco se va a notar mucho.

#89 Sip. Si el ransomware está programado para afectar a muchos sistemas, lo hará, y si no no lo hará.
Por lo que se sabe por ahora de ese ransomware (wanadecryptor), afecta a sistemas windows.
www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819

#45 y en los que no son como hoy tambien

#6 El Clau Compiutinnnn...

Si, al volver de desayunar, pantallazo azul. Ransomware Wanna Decryptor al parecer. Tremendo ver que haya afectado a otros. Vaya finde para los sysadmins

#98 He trabajado en BBVA y trabajar alli no es trabajar con normalidad

#149 Eso es falso y ya se dio contestación a este tipo de FUD en los albores de Linux.
Windows no se infecta más por ser "mainstream".
Todo internet funciona con sistemas *nix. Más mainstream que eso no hay nada.
Windows se infecta más por tremendos fallos de diseño que son parte fundamental del funcionamiento de Windows y que si Microsoft cambia harían incompatible las nuevas versiones de Windows con las aplicaciones ya existentes.

#22 Capgemini
Que se coman la carnica al horno y con patatas.

#50 #39 Netflix no utiliza Flash. Utiliza HTML5 o Silverlight.

#78 Hace dos días me entró un cliente infectado. El vector fue RDP por fuerza bruta o vulnerabilidad. No está claro.
Pero fue A través de RDP seguro.
#114

#312 "se ataca a Windows por que tiene muchos usuarios"
FUD. Prácticamente detrás de cada IP que existe mundialmente hay un *nix. Mientras que los PCs domésticos suelen estar detrás de routers con NAT, Firewalls, no tienen servicios corriendo en puertos abiertos a todo internet, etc...
Desde el punto de vista de la facilidad de acceso es mucho más accesible un servidor web, correo, etc... que un equipo Windows de un particular o empresa.
No se atacan los Windows por que sean más, ni por que el usuario sea el eslabón más débil (el mismo usuario en Linux ya no es eslabón débil), se atacan por que el SO es más débil (ejecución por extensión por ejemplo).

En cuanto a la ejecución de código por buffer overflow, no te sirve de un PC a otro si no tiene corriendo el mismo servicio/demonio y habitualmente la misma versión. Por lo tanto muy complicado y muy selectivo.
Mientras que el problema de las extensiones es transversal a todos los Windows tengan los servicios que tengan.

#291 Esa es otra.
Los de Microsoft piensan con el culo o la seguridad del equipo de los usuarios se las trae al fresco.
Tienes un problema monumental con los ejecutables y decides que vas a ocultar las extensiones para que los usuarios solo vean el icono de el tipo MIME de la aplicación.
Más facilidades para los creadores de virus y troyanos. Solo tienes que poner a tu ejecutable de icono el tipo MIME para los JPG y ponerle de nombre algo sugerente.
Felicidades, el usuario ya no puede distinguir un jpg de un exe.
Fantástica mejora de la usabilidad... para los creadores de malware.

Confirmo y he visto capturas de colegas con el ramsonware

#257 yo diría que eso es parte del problema, pero lo que más lo agrava es lo de que por defecto se OCULTE las extensiones para los ficheros conocidos, con lo que tienes a gente que aún sabiendo que un .pdf tiene que acabar por .pdf, está haciendo doble clic en un .pdf.exe.

#3 mientras leía esta noticia, me ha llegado un correo para que nos desconectemos de la VPN que tememos con telefónica...

#127 Por eso mismo te lo digo ... ha entrado en ordenadores de gente experta que ni de coña ejecuta una cosa así. Y no se ha esparcido por la red sino que se ha activado TODO a la vez. No se ha ido extendiendo poco a poco sino que estaba latente en la mitad más o menos de ordenadores. Tanto de administrativos como comerciales como gente de TI sin que de momento encuentren un patrón claro.

#45 Depende, a mi me molaria tener windows y que me hubieran mandado "pa casa"

#59 Y está afectando también a las subcontratas de telefónica. A esta hora todos con el ordenador apagado.

#93 Como si a todas las estaciones se les pudiese hacer eso.
Además, aún no se sabes desde cuando están infectadas...

#3 tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494585889_8573
www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html

#61 No, los virus ransomware no afectan a linux, bueno no afecta al sistema de ficheros linux, yo uso una máquina linux para eliminar todo lo infectado y luego restaurarlo, ya que me he llegado a infectar con solo conectar a carpetas infectadas.

#94 Cuidado! Un ratón suelto peligroso!

#218 y tener a 2 tios tecleando a la vez en el mismo teclado!

#55 Si la abres a resolución completa se ve que es un montaje cutre... gracioso pero cutre. Lo malo es que Antena3 lo saca como si fuera real...

Esto puede ser MUY GRAVE...

Un abrazo muy grande al equipo de Sistemas de dichas empresas. Váis a pasar un finde muy malo (mientras, seguramente vuestros superiores disfruten de un día de playa). Ánimos chicos!

#1 En realidad... depende de qué consideres grave. Ojalá todos los problemas informáticos se solucionaran sólo pagando $300.  

#203 Parece ser que el virus no estaba pululando por la red sino que se ha metido explotando alguna vulnerabilidad. Lo han ido metiendo y se ha quedado ahí sin hacer nada hasta que el que controlaba todo le ha dado al botón rojo y ha aparecido en todos los ordenadores infectados a la vez. No se ha ido poco a poco detectando en ordenadores y se ha extendido rápidamente (en más o menos días u horas) sino que de golpe se ha activado el virus en todos a la vez. Eso es al menos lo que me ha contado gente de dentro.

#124 Pues por ahí están diciendo que han parado los CPDs.

Es trivial tener una copia de los datos de los equipos de sobremesa: Roaming Profiles.

#75 este virus no les debe afectar porque creo que muchos de sus ordenadores todavía van con IBM OS/2 - Warp

#61 En este caso no afecta para nada a Linux.
Estoy por ponerte un negativo.

#203 Hace tres días: www.redeszone.net/2017/05/09/microsoft-soluciona-grave-fallo-windows-d

Se dice que también ha afectado a BBVA, Vodafone y Banco Santander...

Es más, parece que el tema se ha propagado a los sistemas de Vodafone, y en Italia no tienen servicio de Fibra en varias ciudades:

#21: comparte hombre

#4 esto dice en Twitter
Chema Alonso Cuenta verificada @chemaalonso 15 minHace 15 minutos
Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad..

#93 "...pero si su política de backup es correcta..."

Rara es la empresa en la que esa frase sea cierta.

#195 Precisamente.
Todo este problema viene por una mala decisión de base que Microsoft jamás quiso corregir, para no estropear la "compatibilidad" con versiones anteriores de Windows:
Que lo que de termina que un archivo sea ejecutable es la extensión del fichero.
Nada de esto puede pasar en ningún Linux, tenga las políticas de seguridad que tenga el equipo, haya firewall o no, haya antivirus o no. Por que nada que se descargue un usuario en Linux es ejecutable, absolutamente nada.

El tema de usar las extensiones para determinar qué es ejecutable y qué no, probablemente sea la mayor cagada de la historia de la informática en cuanto a dinero que haya costado.
Prácticamente todos y cada uno de los virus, troyanos, malware, adware, gusanos, ramsomware, etc... que existen y han existido en la historia de Windows han sido posibles por esta decisión.
Pero claro, es una decisión que a Microsoft no le cuesta dinero, si acaso lo contrario.
Y como todos los usuarios de Windows ya sean particulares o empresas ya tienen interiorizado que virus y demás familia son parte inseparable de un ordenador cuando no es así para nada en otros sistemas operativos, en lugar de cargar contra quien tiene la culpa, creadores de virus y Microsoft, asumen con resignación bovina que es parte de el ciclo de la vida de los ordenadores.

#61 Puedes explicarme como va a cifrar mi disco duro con sistema linux? Sabe mi clave de root?