Siguen los esfuerzos para frenar al Ransomware

Al cumplirse hoy una semana de la propagación masiva del ransomware WannaCry que infectó, al menos, a 300.000 computadoras de 150 países, incluido Argentina que sólo registró 2.400 reportes, investigadores franceses y la empresa Telefónica, una de las mas afectadas, dieron a conocer nuevas herramientas para frenar el ciberataque.

Investigadores franceses anunciaron hoy el hallazgo de una solución de último minuto para que los técnicos guarden los archivos del sistema operativo Windows encriptados por WannaCry, luchando contra el plazo de límite fijado para esta fecha por los hackers para que el ataque de ransomware empiece a bloquear las computadoras infectadas hace una semana, consignó Reuters.

En este sentido, el equipo conformado por los expertos en seguridad informática, Adrien Guinet, Matthieu Suiche y Benjamin Delpy reveló haber colaborado en el desarrollo de una alternativa para desbloquear la clave cifrada en los archivos afectados por el ataque global, lo que fue confirmado por varios expertos independientes.

Sin embargo, los especialistas advirtieron que la solución “solo funcionará bajo ciertas condiciones”, sobre todo que los equipos no hayan sido reiniciados desde su infección y que las víctimas apliquen la solución antes de que WannaCry cumpla su amenaza de bloquear de forma permanente sus archivos.

En particular, Suiche publicó un blog con detalles técnicos que resumen lo logrado por el grupo (https://goo.gl/iIFDZs). Al mismo tiempo, lo enlazó con una herramienta llamada Wannakey, elaborada por Guinet, creador del concepto original.

“El método debería funcionar con cualquier sistema operativo desde XP a Win7”, comentó Suiche a Reuters a través de un mensaje directo por Twitter.

Asimismo, reconoció que “no es una solución perfecta, pero hasta el momento es la única disponible para ayudar a que las empresas recuperen sus archivos si resultaron infectados y no tienen respaldo”.

Por otro lado, la empresa Telefónica fue la primera en dar la voz de alerta hace siete días, al ser una de las mas afectadas, y de la misma compañía surgió ayer “Telefónica WannaCry File Restore”, un script (archivo de órdenes) que permite recuperar los documentos si el ataque del ransomware no finalizó, existiendo todavía una copia temporal de los archivos que van a quedar cifrados.
Además, el responsable de la división de Datos de Telefónica de España, Chema Alonso, anunció que la semana próxima lanzarán una versión ejecutable de la herramienta para Windows.

El hecho de que el ransomware afectara a Windows XP a través de una vulnerabilidad hizo que Microsoft tuviera que lanzar de forma excepcional un parche de seguridad, que ya había dado a conocer en marzo último.

Tradicionalmente, Microsoft deja de brindar servicios de soporte y parches de seguridad a versiones antiguas de su sistema operativo. En este punto, hace apenas un mes la empresa tecnológica había avisado que iba a dejar de proteger a Windows Vista, por lo que alertó sobre los riesgos que suponía esa situación.

El presidente de la gigante tecnológica, Brad Smith declaró esta semana que el ciberataque debería ser un “llamado de atención” para los gobiernos que almacenan vulnerabilidades de software para sus propios intereses, ya que el virus usado en el ataque utilizó una herramienta informática robada a la Agencia de Seguridad Nacional (NSA) estadounidense.

Por su parte, al día siguiente del ataque, un investigador británico anunció en su cuenta de Twitter @MalwareTechBlog que había encontrado, de manera accidental, un “kill-switch”, un interruptor de apagado de emergencia, en el código del ransomware. Fue un inicio, pero no suficiente para frenar el ataque.

WannaCry ya infectó, desde el viernes pasado, a más de 300.000 computadores en 150 naciones. Su amenaza consiste en bloquear las computadoras de los usuarios que no paguen una suma de entre 300 y 600 dólares en la moneda digital bitcoin, dentro de la semana posterior al contagio, plazo que se cumple hoy.

La gravedad se explica por la vulneración simultánea de grandes empresas y no tanto por la cantidad de terminales afectadas, que en Argentina “solo tuvo 2.400 reportes”, según precisó a Télam el director general de Seguridad Informática del Gobierno de la Ciudad, Gustavo Linares.

La realidad es que las cifras pagadas hasta ahora por quienes sufrieron “secuestros” de información, no es elevada si se compara con el alcance del ransomware, según indicaron a Télam especialistas en seguridad informática, quienes aclararon que tal vez algunas empresas hayan pagado por fuera del método propuesto por los captores, utilizando otros canales no reconocidos.

En tanto, expertos siguen trabajando para conocer el origen de la infección, y apuntan a Corea del Norte, aunque no está demostrado.

WannaCry afectó centros de salud en el Reino Unido, a las empresas FedEx en Estados Unidos, a una plata de Renault en Francia, a Nissan en Japón, a la red ferroviaria en Alemania, a organismos públicos en Rusia y a universidades en China.