Ciberataque WannaCry
- Servicio de Informática y Comunicaciones
- Artículos
- Hemeroteca
- Ciberataque WannaCry
¿Soy vulnerable?
Puedes comprobar si eres vulnerable a este ciberataque, entrando en la siguiente página (Conexión Segura):
Comprobación de vulnerabilidad MS17-010. Ransomware WannaCry
En determinados casos, como estar en tu domicilio, o si usas tecnología IPv6, no podremos realizar la comprobación.
Sigues las medidas de prevención que te incluimos a continuación.
¿Cómo prevenir el ataque?
Actualiza tu sistema operativo Windows con los últimos parches de seguridad ya que el malware aprovecha una vulnerabilidad para el que ya existe un parche de seguridad. Dicha actualización de seguridad impide que el malware se pueda propagar fácilmente por la red. El boletín de seguridad de Microsoft que lo soluciona es MS17-010.
Debido a la afectación que está habiendo a nivel mundial, Microsoft ha decidido publicar parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8 a través de su Blog Oficial
En caso de que no sea posible aplicar los parches de seguridad, los administradores de TI deberían optar por las siguientes medidas de mitigación:
- Aislar la red donde haya equipos infectados.
- Aislar los equipos infectados.
- Desactivar el servicio SMBv1.
- Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
- Bloquear el acceso a la red de anonimato Tor.
¿Cómo recuperar los datos cifrados?
No siempre es posible recuperar los datos cifrados
- Si el ordenador pertenece a la universidad, ponte en contacto con el Centro de Atención y SOporte (CASO) en el 6200 para gestionar esta incidencia.
- Si se trata de un ordenador personal, consulta la página del Instituto Nacional de Ciberseguridad de España (INCIBE) donde hay referencias a programas que pueden ayudarte a recuperar la información.
Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado.
¿Pagar sirve para recuperar mis archivos?
Se trata de ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago.
¿Cómo desinfectar el ordenador?
Para eliminar la infección, en principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado (https://www.incibe.es/protege-tu-empresa/herramientas).
Dependiendo de la importancia de los datos perdidos es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). El clonado es importante ya que si se quiere interponer una denuncia todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrar los archivos en un futuro.
Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.
Para este caso, recuerda mantener el sistema actualizado a las últimas versiones y con los parches de seguridad más recientes
Evita ser víctima de este tipo de ataques siguiendo las recomendaciones de seguridad básica:
- No abras adjuntos en correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
- No contestes en ningún caso a este tipo de correos.
- Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
- Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
Detalle del ciberataque
El método de infección y propagación se produce aprovechando una vulnerabilidad del sistema operativo Windows para la que ya existe un parche.
Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones, ha llegado a través de un adjunto, o una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.
Tras infectar y cifrar los archivos del equipo afectado, como es habitual, el ransomware solicita un importe para desbloquear el equipo a través de paneles de control publicados en la red de anonimato Tor.
15 de mayo de 2017
Servicio de Informática y Comunicaciones
Universidad Carlos III de Madrid
Protegete:
- Actualiza tu Sistema Operativo
- No abras adjuntos de personas que no conozcas