WannaCry: això és la guerra!

 
A hores d’ara no cal que us expliqui que el tema estrella de les notícies de la darrera setmana ha estat el Wannacry, el virus que ens ha tingut a tots resant perquè no ens infectés i pensant què faríem si ens infectava.
 
Els experts en seguretat el consideren el més gran atac fins ara, el que vol dir que en poden haver-hi més, i ha arribat a aturar els ordinadors del Servei Britànic de Salut (NHS) o els de Telefónica, afectant majorment a ordinadors de Rússia, però no és gens cert que sigui el més gran atac, estem parlant de més de 200.000 ordinadors infectats a uns 150 països, amb el ‘I love you’, el. Maig del 2000,  es van infectar 50 milions d’ordinadors. En l’àmbit econòmic i de ransomware, es veu que el wallet de BitCoin ha rebut uns 30.000 €, però es calcula que el CryptoLocker porta més de 3 milions d’euros i més de mig milió d’ordinadors infectats.
 
 
 
 
 
 
Com funciona
 
El sistema és simple, fins a un punt, les empreses, i els particulars, acostumen a estar protegides amb un tallafoc que aïlla els ordinadors dels atacs, els usuaris normals tenim un encaminador o router que fa algunes funcions molt elementals però que també ens aïlla de la xarxa, això és el que es coneix com a Intranet, en una empresa són tots els ordinadors i servidors, i en una casa són els ordinadors, els telèfons, els iPads, els televisors, etc. etc.
 
Per poder accedir a un ordinador d’aquesta xarxa, el sistema més tradicional és enviar un mail a un usuari d’aquesta empresa, mail que acostuma a portar un enllaç per descarregar el programa que ens atacarà. Qualsevol excusa ens farà caure, ens diuen que ens adjunten una factura d’algun servei que és més alt del que esperem, una foto d’algun famós o famosa despullat, un avís del banc, us podeu imaginar el que vulgueu i potser no ho encertareu perquè la imaginació dels atacants és sempre millor i més prolífica que la nostra.
 
Si us arriba un mail amb algun d’aquests tips d’arxius:
    .js, .vbs, .docm, .hta, .exe, .cmd, .scr i .bat
No feu clic en l’adjunt per descarregar-lo.
 
De moment encara no està demostrat que aquests hagi estat el sistema d’entrada del WannaCry, però és la hipòtesi més probable.
 
Una vegada descarregat l’arxiu, comença les dues feines bàsiques que té, per un costat encriptar tots els nostres arxius perquè no els puguem fer servir i per l’altre reproduir-se a tots els ordinadors que trobi al seu abast.
 
La primera part és la més senzilla, una vegada el programa està en el nostre ordinador, es connecta amb el servidor ‘central’ i demana una clau d’encriptació, diferent per a cada ordinador, amb la que comença a encriptar tots els nostres arxius. Quan ha acabat, ens treu el missatge de què ja no tenim arxius al nostre ordinador i ens dóna les instruccions per pagar i obtenir la clau per desencriptar-los.
 
La segona part és la més complicada perquè el programa ha d’intentar copiar-se a tots els altres ordinadors que tenen Windows, no es reprodueix ni a Macs ni a Linux, que té al seu abast, que són tots els de la Intranet de l’empresa o de casa i aquesta còpia és la que es fa utilitzant l’errada del sistema operatiu descoberta per l’NSA.
 
 
Què és el Kill Siwtch?
 
Un expert de seguretat britànic, de 22 anys, que es fa dir MalwareTech, @MalwareTechBlog a Twitter, i que vol o almenys intenta que el seu nom romangui a l’anonimat, va descobrir que, una vegada el virus ha entrat a un ordinador, abans de començar a encriptar els arxius, el primer que fa és intentar connectar-se a un domini d’internet i comença a treballar si no pot fer-ho perquè NO existeix. Si voleu l’explicació del seu autor, MalwareTech ho explica al seu blog: How to Accidentally stop a Global Cyber Attacks.
 
Simplement, donant d’alta aquest domini atura la divulgació del virus i els seus efectes, per això se l’anomena Kill Switch, ho atura almenys fins que surti, que sortirà, una nova versió.
 
Els experts creuen que no és un error de programació, sinó que aquesta facilitat de parar el virus estava programada expressament en cas de necessitar aturar-lo per algun motiu, però això només són hipòtesis perquè el mateix MalwareTech creu que és un error de programació.
 
 
Com saber que estem infectats?
 
Si estem infectats, ens adonarem ràpidament, ens sortirà al nostre ordinador una pantalla que ens avisarà i ens donarà les instruccions per fer el pagament i, al mateix temps, canviarà el fons de pantalla de l’ordinador per un fons que ens seguirà recordant, per si en tenim dubtes, del que hem de fer per pagar per recuperar els nostres arxius.
 
 
 
 
i l’ordinador no arrancarà quan el parem.
 
 
 
Com ho podem preveure?
 
Ara que ja tothom l’ha patit les principals cases de productes d’antivirus han actualitzat els seus programes per detectar-lo com Kaspersky i, fins i tot, alguns com Symantec diuen que els seus programes no han deixat que cap ordinador protegit per ells s’infectés. Els del CERT de Madrid, el centre de resposta espanyol per incidents de seguretat, que depèn del CNI, ha publicat una vacuna NoMoreCry Tool, que evita, si l’ordinador no ha estat infectat, que s’infecti. Llegiu les instruccions perquè a l’hora de fer aquest article s’havia de carregar el programa d’antivirus cada vegada que s’arranca l’ordinador.
 
També és important tenir l’ordinador amb la darrera versió del sistema operatiu que té solucionada l’errada de seguretat que permetia la difusió del virus copiant-se a altres ordinadors.
 
Fins i tot Microsoft, que fa anys que no actualitza el Windows XP, ha tret una actualització especial per evitar la difusió. Però no us en refieu, si teniu equips que encara funcionen amb XP, actualitzeu-los, si és possible, a Windows 10.
 
Segons els de Netmarketshare, encara un 7,04% dels ordinadors de sobretaula tenen aquest sistema operatiu, els d’statcounter donen uns valors similars:
 
 
 
 
Què podem fer?
 
Si tenim el WannaCry en el nostre ordinador i els arxius encriptats, no els podem desencriptar amb cap programa, només podem fer:
 
  • recuperar els arxius de la còpia de seguretat, prèvia neteja del virus en el nostre ordinador
  • pagar, més o menys uns 300 $, obtenir la clau de desencriptació i alliberar-los
 
Això, per si hi havia cap dubte, torna a demostrar la gran importància de les còpies de seguretat, penseu que com a conseqüència col·lateral, els fabricants de programes de còpies de seguretat estan pujant les vendes i estan fent propaganda especial explicant ben clarament que amb una còpia de seguretat no patiríeu els efectes d’aquest virus, ni de cap altre.
 
 
Perquè en parlem tant?
 
Si sembla que no és tan important ni ha fet tantes malifetes com perquè se’n parli tant, perquè se n’ha parlat tant? Aquí us deixo algunes de les meves teories conspiratives:
 
  • Perquè ha afectat grans empreses com FedEx, Telefónica o el Servei Nacional de Salut del Regne Unit?
  • Perquè, segons una teoria de la conspiració, forma part d’un error de Windows detectat fa temps per l’NSA que se l’havia callat per intentar aprofitar-lo per les seves feines d’espia?
  • Perquè ens hem adonat de la nostra vulnerabilitat i com és de fàcil perdre les nostres dades?
 
Quines són les vostres?