Hace algunas horas publicamos la noticia de que varias empresas españolas se habían visto afectadas por un Ransomware, entre ellas se encuentrarían Telefónica, BBVA, Gas Natural, Iberdrola y Vodafone, de la cual se dice que Telefónica es la que ha sufrido el mayor daño.
Según han identificado, una versión de WannaCry es el Ransomware responsable de estos ataques, es una variante de la familia de los Wncry que encripta información sensible de los equipos para luego pedir un pago por ellos. Este virus puede aparecer bajo cualquier extensión y se propaga por las redes entre equipos.
¿Cómo funciona WannaCry?
Al llegar al ordenador, el archivo se ejecuta y aprovecha una vulnerabilidad de Windows para poder bloquear el acceso al administrador y a los diferentes usuarios. Pidiendo un rescate económico para que el usuario pueda acceder a los archivos.
Aquí hay dos variantes de este Ransomware, el primero que es el menos dañino, que solo bloquea el acceso al administrador y elimina los accesos para que el usuario no tenga forma de usarlos. Y la segunda que es la más perjudicial, y que es la que seguramente ha infectado a las empresas el día de hoy, es la variante que encripta archivos críticos del sistema a los cuales no se puede acceder de ninguna forma sin la contraseña.
No solo afecta a archivos de forma aislada, tiene un método que ha ido evolucionando con el tiempo, ya que borra los puntos de restauración del sistema y crea de forma sutil, un ambiente para que el equipo pueda volver a ser infectado nuevamente en un futuro, borrando archivos críticos, cambiando el registro y modificando las configuraciones.
Este virus solo da tres días para poder pagar el monto que solicita, normalmente son 300 € por dispositivo, a pagar vía Bitcoin, lo que hace imposible su rastreo. Estos acuerdos normalmente son dudosos y nunca se tiene la certeza realmente de que se reciba la contraseña para poder recuperar lo afectado.
Describir todas las variantes que tiene es casi imposible, ya que cada delincuente lo usa y modifica para sus propios fines, ya sea ganar dinero, robar información de las empresas o afectar la información que tienen de sus usuarios para venderla luego en el mercado negro.
¿Que debo hacer si mi equipo se ha infectado?
Si has abierto un correo de dudosa procedencia, o si has estado navegando por sitios de duda seguridad y has sido infectado con uno de estos Ransomware, lo más importante es que apagues el equipo lo más rápido posible, y si tienes una red local, desconectar todos los equipos relacionados.
Lastimosamente, no se recomienda pagar un rescate por los archivos, por más importantes que puedan ser. No hay ninguna garantía de que realmente se devuelvan esos archivos, e incluso está el riesgo de que se exija una cifra mayor, solo por el hecho de ser un usuario dispuesto a pagar.
Lo que se recomienda es llevar el disco rígido de la pc a un técnico o en el caso de tener los conocimientos necesarios, para hacer una copia de este en un disco de soporte, ya que siempre tiempo después se encuentra alguna solución para poder desencriptarlos.
¿Mi PC corre peligro?
Si tu ordenador se encuentra usando estas versiones de Windows, es posible que esté en riesgo:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 and R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 and R2
- Windows 10
- Windows Server 2016
Microsoft al darse cuenta de esta vulnerabilidad en Windows, lanzó hace tiempo un parche de seguridad que evita que este Ransomware afecte a tu equipo. Así que para estar seguro, recomendamos instalar las actualizaciones más recientes de Windows, en el caso de que este cuente con soporte oficial. En el caso de contar con Windows Vista o Windows XP, actualizar a versiones más recientes de Windows.
También se recomienda tener un anti malware competente y mantener siempre Windows actualizado para evitar que estas amenazas logren activarse.