Mucho se ha dicho ya del ransomware WannaCry en los medios de comunicación. Mucho y muy confuso, por desgracia, pero lo que sí que es cierto es que WannaCry es un ransomware al uso que ha utilizado un vector de propagación muy virulento, por aprovecharse de una vulnerabilidad highly critical explotable por LAN sin interacción por parte del usuario, lo que que lo ha hecho más agresivo en su difusión. Eso sí lo ha hecho diferente, pues una vez se cuela dentro de una red local, su difusión es rápida y hay que ser expeditivo para detenerlo.

Figura 1: WannaCry. NoMoreCry Tool & Latch ARW

Lo cierto es que en las muestras que hemos podido ver, el ransomware no traía capacidades especiales antiforensics para detectar que estaba bajo análisis, técnicas de empaquetado y ofuscación avanzadas, ni protecciones contra el borrado extras. Su "éxito" ha sido sacar partido de un bug explotable remotamente sin interacción con el usuario en un servicio muy común en las redes de área local. Al estilo de viejos Conficker, Blaster o similares.

Como ransomware no traía funciones especiales, así que con muchas de las soluciones antiransomware que existían en el mercado, cualquier persona infectada con este malware podría proteger sus documentos. En esta prueba de concepto puedes verlo funcionando con Latch ARW, nuestra solución para proteger documentos contra este tipo de ataques.

Figura 3: Descarga gratuita de Latch ARW

Todos los equipos que fueron infectados con WannaCry, pero que tenían sus documentos protegidos con Latch ARW no han perdido ningún archivo o información. Así que, para estar preparado para cualquier mutación posible, lo recomendable es que tengas tus carpetas protegidas previamente, y te ahorrarás lamentaciones. Aquí puedes ver cómo funciona con otras muestras de ransomware.

Si te has visto afectado por este ransomware y has perdido algún documento, lo siguiente que puedes hacer es buscar los lugares donde puedas tener copias de los archivos que has perdido. Desde el correo electrónico, hasta las Shadow Copies, pasando por las papeleras de reciclaje de las carpetas sincronizadas con discos en la nube, tipo One Drive o Dropbox. 

Si vas a pinchar un backup en un disco duro externo, antes asegúrate de haber eliminado WannaCry con alguna solución tipo NoMoreCry y de haber actualizado los parches de seguridad de Microsoft para que no te vuelvan a explotar una vulnerabilidad similar.

Saludos Malignos!