El CNN-CERT de España publicó en su sitio una alerta sobre un ataque masivo por ransomware que afecta a varias organizaciones españolas. La alerta en el boletín de seguridad recomienda la instalación de actualizaciones de seguridad de marzo de 2017 de Microsoft como medio para evitar la propagación del ataque.
Este ransomware no sólo afecta al equipo atacado de forma directa, también al resto de dispositivos windows conectados a la red local. Se ha identificado que los ataques fueron realizados por una versión de WannaCry , el cual aprovecha una vulnerabilidad de ejecución de comandos remota a través de SMB.
Los sistemas operativos afectados son los siguientes:
- Windows Vista SP2
- Windows Server 2008 SP2 y R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 y R2
- Windows 10
- Windows Server 2016
El Servicio Nacional de Salud (NHS) en el Reino Unido también emitió una alerta y confirmó el ataque a 16 instituciones médicas. Se han confirmado otros ataques en varios países como Rusia, Ucrania e India.
Los equipos de cómputo con Windows que no cuenten con las actualizaciones del sistema operativo pueden ser atacadas remotamente mediante la vulnerabilidad «EternalBlue» e infectadas por el ransomware
La firma Kaspersky Lab ha registrado más de 45,000 ataques del ransomware WannaCry en 74 países de todo el mundo, sobre todo en Rusia.
El ransomware cifra los archivos con las siguientes extensiones:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
- Las extensiones de archivo pertenecen a ciertos grupos de formatos, entre ellos:
- Extensiones de archivo de oficina usadas comúnmente (.ppt, .doc, .docx, .xlsx, .sxi).
- Formatos de oficina menos comunes y específicos de la nación (.sxw, .odt, .hwp).
- Archivos, archivos multimedia (.zip, .rar, .tar, .bz2, .mp4, .mkv).
- Correos electrónicos y bases de datos de correo electrónico (.eml, .msg, .ost, .pst, .edb).
- Archivos de base de datos (.sql, .accdb, .mdb, .dbf, .odb, .myd).
- Los archivos de proyecto y de código fuente de los desarrolladores (.php, .java, .cpp, .pas, .asm).
- Claves de cifrado y certificados (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
- Arquitectos gráficos, artistas y fotógrafos (.vsd, .odg, .raw, .nef, .svg, .psd).
- Archivos de máquina virtual (.vmx, .vmdk, .vdi).
El «manual de usuario» (archivo !Please Read Me!.txt) que proporciona se encuentra en diferentes idiomas:
Búlgaro, chino (simplificado), chino (tradicional), croata, checo, danés, holandés, inglés, filipino, finlandés, francés, alemán, griego, indonesio, italiano, japonés, coreano, letón, noruego, polaco, ruso, eslovaco, español, sueco, turco, vietnamita.
También puede consultar: Se detiene ataque por ransomware WannaCry, pero en realidad no ha terminado