Frente al ataque mundial de ransomware acaecido el 12 de mayo, Symantec lo repasa y brinda recomendaciones para combatirlo.
La empresa informa que la variante WannaCry cifra archivos de datos y pide al usuario que pague un rescate de USD 300 en bitcoins. La nota de rescate indica que el monto del pago se duplicará después de tres días. Si no se realiza el pago después de siete días, los archivos cifrados se eliminan. El troyano también deja un archivo llamado !Please Read Me!.txt, que contiene el texto en el que se explica lo sucedido y la manera de pagar el rescate.
El ransomware cifra archivos con las extensiones .lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx., y añade el sufijo .WCRY al final del nombre del archivo:
Además, se propaga a otras computadoras atacando una vulnerabilidad conocida en la ejecución de código remoto de la versión 2 del bloque de mensajes de servidor (SMBv2) en equipos con Microsoft Windows. En este sentido, las organizaciones deben tener instaladas las actualizaciones de seguridad más recientes del sistema operativo, en particular la descrita en el boletín de seguridad MS17‑010, para evitar la propagación.
La firma señala que sus clientes están protegidos contra WannaCry mediante una combinación de varias tecnologías, con las detecciones Ransom.CryptXXX, Trojan.Gen.8!Cloud, Trojan.Gen.2 y Ransom.Wannacry en la categoría de Antivirus; y 21179, 23737, 30018, 23624, 23862, 30010, 22534, 23875 y 29064 en Sistema de prevención de intrusiones.
Por otro lado, recomienda tener actualizado el software de seguridad, así como el sistema operativo y los demás programas; prestar especial atención a los correos electrónicos inesperados; tener extrema cautela con cualquier archivo adjunto de correo electrónico en formato de Microsoft Office que le advierta habilitar las macros para ver su contenido; respaldar los datos importantes es la forma más efectiva y sencilla de combatir la infección de software de secuestro informático; y utilizar servicios en la nube para mitigar la infección, pues muchos de ellos conservan versiones previas de los archivos, lo cual permite recuperar los archivos descifrados.
También remarca que, aunque por el momento no hay forma disponible de descifrar los archivos (salvo a partir de respaldos), está llevando a cabo investigaciones al respecto y no aconseja pagar el rescate.