Así funciona el virus que vulneró a más de 70 países

El Centro Criptológico Nacional, dependiente del CNI, ha alertado de la existencia de un virus informático “ramsonware” que ha atacado varias compañías españolas.

El “ransomware” es un virus capaz de bloquear un ordenador desde una ubicación remota y que secuestra sus archivos y no los libera hasta que consigue el pago de un rescate.

El “ramsonware” es llamado así por la combinación en inglés de dos palabras: “ramson” (rescate) y “ware” derivada de software (programa). Es un tipo de programa malintencionado que se propaga, por ejemplo descargando un archivo a nuestro ordenador.

Te puede interesar:

Policía Federal activa protocolo para prevenir ciberataque

El programa malintencionado, una vez se encuentra en nuestro sistema operativo, se camufla de modo que el usuario lo ejecute en programas de utilización común que en principio parecen fiables, como por ejemplo, el reproductor Adobe Flash Player. También podemos quedar infectados al descargarnos un vídeo, con una actualización propia de nuestro sistema operativo o incluso un archivo adjunto al recibir un mail.

Una vez dentro de nuestro equipo, el virus lanza el mensaje de amenaza y el rescate que se ha de pagar. También pueden incluir amenazas a la propia IP o una fotografía tomada con la cámara incluida en el equipo.
WannaCry, la amenaza a Telefónica.

En el caso de hoy, el ransomware es una versión de WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son: Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7; Windows 8.1; Windows RT 8.1; Windows Server 2012 and R2; Windows 10 y windows Server 2016.

Como explica el director general de Sophos Iberia, Ricardo Maté, algunos empleados de las entidades afectadas recibieron por la mañana un correo electrónico pidiendo el pago de dinero en ‘bitcoins’ para eliminar las restricciones a los archivos y equipos secuestrados, que habían cifrados por el propio virus.

Leer más:

Ciberataque masivo afecta a 70 países en 10 horas

El ‘ransomware’ Wannacry tiene la particularidad de que en determinadas condiciones se propaga solo, como ha apuntado el socio director de S2 Grupo, José Rosell. Esto significa que el ‘malware’, al igual que otros similares, necesita una vía de acceso, un ‘email’ por ejemplo, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red.

Esto hace que la recomendación de no pinchar en ‘emails’ sospechosos no sea suficiente, dado que no es necesario que todos los miembros de la empresa pinchen en correo para su difusión, sino que una vez ha conseguido entrar, lo que lo frena es bien apagar los equipos bien desconectar la Red. De hecho, los equipos pueden seguir encendidos si no están conectados a la Red.