El ransomware que ha infectado a Telefónica y a los hospitales NHS se está distribuyendo agresivamente, con más de 50.000 ataques hoy

Avast te protege del ransomware WanaCrypt0r 2.0 que ha infectado a NHS y Telefónica

Hoy hemos observado un pico muy elevado de ataques del ransomware WanaCrypt0r 2.0, con más de 57.000 detecciones en lo que llevamos de día. De acuerdo con nuestros datos, el ransomware se está centrando, principalmente, en Rusia, Ucrania i Taiwán, pero ha conseguido infectar grandes instituciones, como los hospitales de Inglaterra y la empresa española de comunicaciones, Telefónica.

Este es el mapa que muestra los países más atacados por WanaCrypt0r 2.0:

01-2.png

En febrero observamos la primera versión de WanaCrypt0r y ahora este ransomware está disponible en 28 idiomas diferentes, desde búlgaro a taiwanés. Hoy, a las 8 am CET, observamos un incremento de la actividad, que rápidamente escaló en una distribución masiva, empezando a las 10 am.

El ransomware modifica la extensión del archivo afectado a “.WNCRY”, por lo que un archivo infectado se parecerá a, por ejemplo, algo así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también son marcados con un “WANACRY” al principio del archivo.

El ransomware añade las siguientes notas de rescate en un archivo de texto:

please_read_me_.txt_-_notepad.png

Además, el secuestrador pide $300 en bitcoins. El mensaje que se muestra en pantalla contiene instrucciones sobre cómo pagar el rescate, una explicación de lo sucedido y una cuenta atrás.

Wana_decrypt0r_2.0.png

Adicionalmente, el fondo de pantalla de la víctima se cambia por la siguiente imagen:

_wanadecryptor__720.png

El ataque muestra, una vez más, que el ransomware es una herramienta poderosa que puede utilizarse tanto para usuarios como para empresas. El ransomware se vuelve particularmente molesto cuando infecta instituciones como hospitales, donde puede poner en riesgo la vida de los pacientes.

Vector de infección: WanaCrypt0r 2.0

WanaCrypt0r 2.0 se suele distribuir en los PC gracias a un exploit que Equation Group, un grupo sospechoso de estar vinculado a la NSA, utilizó para sus sucios negocios. Un grupo de hackers llamado ShadowBrokers ha robado las herramientas de hacking de Equation Group y las ha publicado. Tal y como ha confirmado el analista de seguridad Kafeine, el exploit, conocido como ETERNALBLUE o MS17-010, probablemente fue utilizado por los cibercriminales que andan detrás de WanaCrypt0r y se trata de una vulnerabilidad Windows SMB (Server Message Block, un protocolo de transmisión de archivos).

Avast detecta todas las versiones conocidas de WanaCrypt0r 2.0, pero recomendamos a todos los usuarios de Windows que actualicen su sistema con las últimas actualizaciones disponibles. Seguiremos monitorizando este brote y actualizaremos este artículo tan en cuanto tengamos novedades.

El ransomware que ha infectado a Telefónica y a los hospitales NHS se está distribuyendo agresivamente, con más de 50.000 ataques hoy
Califica este post
Comparte

Moderador Autor

This Blog...