GETOVERX FORUM Community Support   ›   Malware Docs   ›   Ransomware   ›   WORM – WannaCry

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
WORM – WannaCry
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:53 PM (This post was last modified: 12-07-2025, 04:08 PM by mrwebfeeder.)
Nombre: WannaCry / WCry

Categoría: Gusano + Ransomware

Familia: WannaCrypt

Fecha de descubrimiento: 2017

Descripción general:
Gusano/ransomware que explotó la vulnerabilidad EternalBlue en SMBv1 para propagarse automáticamente a nivel mundial. Una vez en un equipo vulnerable, se replica a otros hosts en la red y cifra archivos con un esquema híbrido (AES + RSA), mostrando una nota de rescate y pidiendo pago en Bitcoin.

Vulnerabilidad explotada (CVE):
- EternalBlue – ejecución remota de código en SMBv1:
Code:
CVE-2017-0144

Comportamiento (lo que hace y archivos que infecta):
  • Auto-propagación por red:
    - Escanea otros equipos en la red intentando conectarse al puerto 445/TCP.
    - Explota la vulnerabilidad SMBv1 (EternalBlue) en sistemas sin parche MS17-010.
    - Una vez comprometido un host, repite el proceso de escaneo y propagación, actuando como gusano.
  • Cifrado de archivos:
    - Cifra archivos de usuario y corporativos utilizando criptografía híbrida (AES + RSA).
    - Target típico: documentos Office, imágenes, archivos de proyecto, bases de datos y otros datos de trabajo.
  • Rescate en Bitcoin:
    - Muestra una nota de rescate exigiendo pago en Bitcoin a cambio de la supuesta clave de descifrado.
    - Plantea plazos y amenazas de pérdida permanente de los datos.
  • Impacto global:
    - Su combinación de gusano + ransomware causó interrupciones masivas en redes de empresas, hospitales y organismos públicos en 2017.

Persistencia:
- Ninguna avanzada:
- No implementa técnicas sofisticadas de persistencia a largo plazo.
- Depende principalmente de:
- La permanencia del exploit en la red (otros equipos vulnerables que lo reinfectan).
- La ejecución inicial en sistemas que todavía tienen SMBv1 habilitado y sin parchear.
- Aun así, mientras el proceso está activo, mantiene el cifrado en curso y la nota de rescate visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a WannaCry:
Code:
db349b97c37d22f5ea1d1841e3c89eb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar escaneo completo en todos los equipos Windows de la red para:
    - Detectar y eliminar el binario de WannaCry y sus componentes asociados.
    - Mantener activas las heurísticas de ransomware para identificar:
    - Patrones de cifrado masivo.
    - Intentos de modificación de grandes cantidades de archivos en poco tiempo.

  • Firewall:
    - Bloquear puertos 445:
    - Restringir o bloquear el puerto 445/TCP desde/hacia redes no confiables o entre segmentos que no requieran SMB.
    - Segmentar la red para que la explotación de un host no implique el compromiso inmediato de todos los demás.
    - Registrar intentos repetidos de conexión a 445 desde un mismo host como posible indicador de gusano.

  • HIPS / EDR:
    - Process anomaly detection:
    - Detectar procesos que lanzan conexiones masivas a puertos 445 de múltiples IPs en poco tiempo.
    - Registrar y bloquear:
    - Creación masiva de archivos cifrados.
    - Cambios de extensión y comportamiento típico de ransomware.
    - Respuesta automática:
    - Matar el proceso responsable del cifrado.
    - Iniciar aislamiento de red del host afectado para evitar más propagación.

  • Sandbox:
    - Analizar en Sandbox:
    - Adjuntos sospechosos y ejecutables que lleguen por correo o desde rutas de descarga.
    - Observar si:
    - Intentan conectarse a múltiples IPs en el puerto 445.
    - Ejecutan cifrado de archivos en el entorno de prueba.

  • Hardening del protocolo SMB (medidas específicas):
    - Deshabilitar SMBv1:
    - Desactivar SMBv1 en todos los sistemas Windows donde no sea estrictamente necesario.
    - Aplicar el parche de seguridad:
    - MS17-010 en todas las versiones de Windows afectadas, con prioridad máxima.
    - Verificar regularmente, con herramientas de inventario y escaneo, que:
    - No existan hosts con SMBv1 habilitado sin necesidad.
    - Todos los sistemas tengan las actualizaciones críticas aplicadas.

Notas opcionales:
- WannaCry es un caso de estudio clásico que muestra el impacto de explotar vulnerabilidades conocidas en protocolos antiguos (SMBv1) sin parches. La combinación de hardening (SMBv1 deshabilitado), parches al día y EDR reduce drásticamente el riesgo de incidentes similares.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)