¿Cuál es el paso a paso de una infección con WanaCry?

Cuando un computador se infecte con  Wana Decrypt0r, se extrae un archivo embebido dentro del mismo folder donde este el instalador. Este recurso embebido es un folder zip protegido por contraseña que contiene una variedad de archivos usados por WanaCrypt0r.  

Figura 1: Contenido de Archivo Zip protegido por contraseña. Imagen Tomada de BLEEPINGCOMPUTER.

El cargador de WanaCrypt0r extraerá el contenido del archivo Zip y desempeñará algunas tareas de arranque:

1) Se extrae una versión localizada del ransom en el folder msg en lenguajes como: búlgaro, chino (simplificado), chino (tradicional), croata, checo, danés, holandés, inglés, filipino, finés, francés, alemán, griego, indonesio, italiano, japonés, coreano, letón, noruego, polaco, Ruso, eslovaco, español, sueco, turco, vietnamita.

2) Se descarga un cliente TOR de  https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip  y se extrae dentro del folder TaskData.  Este cliente TOR se usa para comunicarse con los servidores del ransomware.

3) Con el fin de preparar el computador de tal modo que pueda cifrar tantos archivos como sea posible, WanaCrypt0r ejecutará el comando icacls . /grant Everyone:F /T /C /Q con el fin de dar permisos completos a los archivos en los folders y subfolders donde el ransomware se ejecuta.

4) Posteriormente, se finalizan los procesos asociados con servidores de bases de datos y correo con el fin de cifrar bases de datos y correos almacenados. Los comandos ejecutados para terminar procesos de bases de datos son:

taskkill.exe /f /im mysqld.exe 

taskkill.exe /f /im sqlwriter.exe

taskkill.exe /f /im sqlserver.exe

taskkill.exe /f /im MSExchange*

taskkill.exe /f /im Microsoft.Exchange.*

Ahora Wana Decrypt0r esta listo para empezar a cifrar los archivos del computador.  Cuando cifra archivos, WanaCrypt0r solo cifrará archivos que tienen una de las siguientes extensiones:

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc.

Cuando un archivo es cifrado, se le adicionará la extensión .WNCRY para indicar que el archivo ha sido cifrado. Por ejemplo un archivo llamado test.jpg cifrado tendría la extensión test.jpg.WNCRY.  

Figura 2: Archivos cifrados. Imagen Tomada de BLEEPINGCOMPUTER.

También se adiciona una nota @Please_Read_Me@.txt y una copia del programa de descifrado @WanaDecryptor@.exe en cada folder con archivos cifrados.  

Además, WanaCrypt0r ejecutará algunos comandos para limpiar los Shadow Volume Copies, desactivar windows startup recovery, limpiar Windows Server Backup history.  El comando ejecutado es:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Como estos comandos requieren privilegios administrativos, la víctimas verán un prompt UAC similar al mostrado:

Figura 3: User Account Control UAC. Imagen Tomada de BLEEPINGCOMPUTER.

Finalmente, se mostrará Wana Decrypt0r 2.0 lock screen, con más información sobre cómo pagar y seleccionar uno de los lenguajes mostrados.  

Figura 4: Wana Decrypt0r 2.0 Lock Screen. Imagen Tomada de BLEEPINGCOMPUTER.

Cuando usted hace clic en el botón “Check Payment”, el ransomware se conecta con los  servidores TOR C2 para verificar si se ha realizado un pago.  Si se realiza el pago, el ransomware automáticamente descifrará sus archivos.  Si el pago no se ha echo, usted verá uno respuesta como la mostrada:

Figura 5: Respuesta a pago no realizado. Imagen Tomada de BLEEPINGCOMPUTER.

Hay tres direcciones bitcoin codificadas en el ransomware de WanaCrypt0r.  Esas direcciones bitcoin son 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw y 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn.

La pantalla de Wana Decrypt0r 2.0 también tiene una etiqueta contáctenos que abre un formulario donde usted puede contactar al desarrollador del ransomware.

Figura 6: Formulario de contáctenos. Imagen Tomada de BLEEPINGCOMPUTER.

El ransomware también configurará su Desktop Wallpaper para visualizar otra nota:

Figura 7: Desktop Wallpaper. Imagen Tomada de BLEEPINGCOMPUTER.

Finalmente, se dejará una nota en el escritorio que contiene más información a preguntas frecuentes.   

Figura 8: Ransom Note @Please_Read_Me@.txt. Imagen Tomada de BLEEPINGCOMPUTER.

¿Qué es EthernalBlue?

EthernalBlue es un exploit desarrollador por la NSA (National Security Agency) y fue liberado por el grupo de hackers llamado the Shadow Brokers el 14 de abril de 2017.  EthernalBlue explota una vulnerabilidad en la implementación de Microsoft del protocolo SMB (Server Message Block), resuelta por Microsoft en la actualización de seguridad MS17-010 en marzo 14 de 2017. https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#74752c3be599, https://en.wikipedia.org/wiki/EternalBlue.

 

Deja un comentario