Omicrono, la tecnología de El Español

El ransomware WannaCry no ha sido vencido tal y como están informando algunos medios. Es algo más complicado que eso.

El pasado viernes toda Internet fue asediada por un nuevo tipo de ransomware, llamado Wana Decrypt0r; saltó a la fama por haber infectado los ordenadores de Telefónica, el gigante de las telecomunicaciones, pero pronto se extendió a todo el mundo.

En pocas horas, Wana Decrypt0r (o WannaCry, el nick que ha recibido) se extendió a decenas de miles de ordenadores de todo el mundo. Sin embargo, esta expansión fue cortada de repente, en cuanto se descubrió cómo funcionaba realmente.

El analista que acabó con WannaCry sin saberlo

El descubridor fue el analista de seguridad MalwareTech, que desde el principio ha estado siguiendo la progresión de WannaCry con detalle a través de Twitter y su blog; eso implicaba probarlo en persona y analizar su comportamiento.

Inmediatamente, se dio cuenta de una cosa: una vez que se instalaba en el sistema, el ransomware intentaba conectar con un dominio a través de Internet. Una pista muy importante para saber quién está detrás del ataque, pero para sorpresa del analista, el dominio no estaba registrado.

De manera instintiva, el analista registró el dominio para si mismo; ya llevaba mucho tiempo en el sector como para saber que el creador de WannaCry había cometido un error mayúsculo al desarrollar este malware.

Sin embargo, lo que no sabía es que al registrar el dominio, había incapacitado completamente el malware; no se dio cuenta de esto hasta mucho después, cuando otros expertos informaron de que el programa estaba fallando.

En un principio puede parecer que el ransomware estaba mal programado. El código intenta conectarse con un dominio, y si no puede, continúa la ejecución cifrando los archivos que ha encontrado; pero si encuentra el dominio, se cierra a si mismo sin hacer nada.

Seguramente el creador original tenía pensado hacer algo con el dominio; en MalwareTech especulan con que es posible que sea un método (bastante pobre) para evitar el análisis del programa.

Algunos entornos de pruebas de malware están configurados para responder automáticamente a las peticiones del programa; si el dominio no registrado le responde, el programa sabe que está siendo ejecutado en ese entorno y se cierra para no darle información a los analistas. Sin embargo, no contaron con que a alguien se le ocurriría registrar el dominio.

De golpe y porrazo, habían acabado con una de las mayores amenazas del año…

El ransomware WannaCry no ha sido vencido aún

…o no. Porque el desarrollo de malware nunca termina. Siempre está evolucionando, adaptándose a los cambios en sistemas operativos y saltándose nuevas protecciones. Hace unas horas, nuevas versiones de Wana Decrypt0r sin ese error empezaron a circular por la red.

Esto ha provocado que la cantidad de infectados vuelva a crecer como loca; el nuevo software no comprueba si existe el dominio, por lo que directamente se ejecuta y cifra nuestros archivos. El efecto es idéntico a la versión del viernes.

Por lo tanto, nuestra recomendación es la misma que la que dimos en su momento. Actualiza Windows, e incluso si usas Windows XP no tienes excusa porque Microsoft hizo una excepción y lanzó la actualización que evita el ataque para ese sistema.

  • Sergio Jimenez Figueroa

    La vida se abrirá camino… en este caso, la vida del WannaCrypt.

5 de 6