Un día después, está de vuelta, y esta vez, sin el killswitch. Los investigadores de seguridad que ejecutan honeypots han visto nuevas infecciones por las versiones del gusano que pueden propagarse incluso cuando el dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com está activo.
#4:
Caramba. ¿Quién podría haber pensado que si se hace pública la forma de anularlo los autores lo modificarían?
#9:
#8 Claro, en infraestructuras críticas todo el mundo sabe que se actualizan los parches el mismo día que salen. No se hacen pruebas en entornos controlados por si hay incompatibilidad con el software que corre el SO de los sistemas críticos.
Por poner un ejemplo, control de tráfico usa software X para controlar semáforos y señales de una ciudad, actualizas un parche de seguridad y el software empieza a comportarse de forma errática aunque no aparezca nada en la interfaz de usuario. De repente se abren todos los paso a nivel de la ciudad o se abren tres semáforos a la vez en un cruce.
Quien dice tráfico dice sensores de alarma de un hospital, asistencia en quirófano, trenes, aeropuertos, gps ... La web de Menéame!
Todo software que se introduce en una red corporativa pasa siempre controles bastante serios antes de implementarse, otra cosa son los equipos exteriores de la red corporativa, esos pueden tener políticas de seguridad diferentes y más laxas a la hora de actualizar pues si cascan no cae la empresa.
#15:
#4 Hombre, si yo liberase un virus malo malísimo y para detenerlo hubiese puesto un interruptor de apagado que fuese la existencia de un dominio, creo que me daría cuenta de que el domino existe sin necesidad de verlo por televisión.
¿Quien crees que programa los virus, uno de los teletubbies?
#85:
#10 No te creas: Un cliente acaba de plantearme un problema:
Tiene 40 máquinas Windows 10 Prof que dan un error a la hora de actualizarse. La actualización dice que no se ha podido instalar y el equipo entra en bucle.
Al parecer si esta actualización no se instala, las siguientes que vienen detrás tampoco: KB3194496
Estoy investigando ahora mismo el problema para ver porqué no se actualiza.
Imagino que habrá mucha gente en situaciones como esta: En su día no le dieron importancia a este problema y ahora los tienen de corbata.
Tic-tac, tic-tac
#109:
#100 que no notas la corrupción??? Hombre, yo la tengo muy presente en cada bache en la carretera, en los peajes desorbitados de las autopistas, en el recibo de la luz, en los impuestos, en las colas en los hospitales, en la educación empobrecida, en la prensa cuyas noticias no te puedes creer, en lo difícil que es acceder a un buen puesto de trabajo... Etc etc.
#36:
#25 Intentaré explicar sin equivocarme
El virus tiene dos fases, una en la que infecta a un equipo de la red, probablemente mediante un fichero adjunto en un correo electrónico que el usuario NO debería haber ejecutado. Aquí el problema es del usuario, no de la vulnerabilidad
Una vez ha infectado un terminal, se propaga por toda la red mediante una vulnerabilidad en protocolo SMB. Esto no deberia pasar si estuviera el parche puesto y los usuarios sanos no tienen forma de evitarlo.
Si un compañero tuyo ejecuta el virus y empieza a propagarse por la red, tú al estar actualizado no serías infectado ni tampoco colaborarías en la propagación.
Si no me equivoco si tu te conviertes en el paciente cero y si que estas actualizado tampoco puedes contagiar a los demás(aunque a ti si te afecta) ya que SMBv1 esta desactivado en ordenadores actualizados
#97:
#95 quieras que no este ramsomware va a tener muchos beneficios para los sysadmins, les va a hacer ver a los jefes de muchas empresas la importancia de las actualizaciones de seguridad, asi como el uso de GPOs estrictas bloqueando la apertura de ficheros .js y similares, de evitar que la peña le de a editar a ficheros bajados de internet que puedan contener macros y un largisimo etc.
#72:
#57 De las grandes pifias que se pueden cometer una de ellas, si cabe la mayor, es fiarse de tu clientes/usuarios
Eso de "bien enseñados" es una auto mentira que te haces por que no creo que seas tan inocente como para creerte que ninguno no va a meter la gamba por mucho que lo digas.
#101:
#99 ya, por eso el que haya afectado a telefonica y grandes compañias va a ser muy beneficioso para la seguridad.
#63:
#57 Eso está muy bien, la concienciación por la seguridad. Pero la inmensa mayoría de los afectados no han abierto ningún "correo raro", se han infectado por la vulnerabilidad en SMB.
Con un solo infectado, podían haber caído todos los equipos de la red de tu cliente.
Álvaro Zancajo, director de 24Horas, leía la última hora sobre el ciberataque y decidió españolizar [...]
#11:
#9 6 palabras: "han tenido DOS meses para actualizar" y para tu informacion un amigo con 5000 maquinas en su trabajo no se ha visto afectado, ni ninguno de mis clientes.
#5:
#4 bueno, con un poco de suerte los administradores se han puesto las pilas y han parcheado el agujero de seguridad (viendo como andaba windows update espero que si)
#10:
#9 Hombre, que tomes tus precauciones antes de instalar parches, vale. Que te haya pillado la "primera oleada" del troyano... bueno, puede tener su explicación pero ¿ahora? ahora ya no la hay.
Esto me recuerda aquel año que fui a la CampusParty. Sasser llevaba ya corriendo por ahí alegremente desde abril. La Campus Party se celebró en julio. Adivina qué le pasó a un montón de gente nada más conectarse a la red. Exacto, que se infectaron con el gusano ¿por qué? ¿por que XP era inseguro? no, por la inutilidad de los usuarios que llevaban sus equipos sin actualizar.
#16:
#15 lo raro es que el que hizo el virus no registrase el dominio previamente sin asignarle una ip
#4 bueno, con un poco de suerte los administradores se han puesto las pilas y han parcheado el agujero de seguridad (viendo como andaba windows update espero que si)
#5 Jajajajaj claro claro. No creas. El problema no está en sitios donde los administradores de sistemas puedan tener control sobre las actualizaciones, esos algunos habrán actualizado y otros seguirán ahí a su rollo como si no fuese con ellos.
Ahora el problema está en todas las empresas donde no hay tanto control como para que el administrador de sistemas pueda forzar una actualización y lo tenga que hacer cada usuario.
#47 yo a mis clientes avise desde que empezaron las primeras alarmas de que no abriesen ningun correo raro sobretodo si provenia de telefonica y compañia, y de todas formas los tengo bien enseñados, resultado 0 infectados .
#57 Eso está muy bien, la concienciación por la seguridad. Pero la inmensa mayoría de los afectados no han abierto ningún "correo raro", se han infectado por la vulnerabilidad en SMB.
Con un solo infectado, podían haber caído todos los equipos de la red de tu cliente.
#57 De las grandes pifias que se pueden cometer una de ellas, si cabe la mayor, es fiarse de tu clientes/usuarios
Eso de "bien enseñados" es una auto mentira que te haces por que no creo que seas tan inocente como para creerte que ninguno no va a meter la gamba por mucho que lo digas.
#75 Estoy seguro que alguno como le entre uno, tardara cero coma en pensar "voy a hacer click a ver por que me decía este friki que no hiciera click"
y antes incluso de pensar asomar esa frase completa en su cerebro ya le habrá dado.
#4 Hombre, si yo liberase un virus malo malísimo y para detenerlo hubiese puesto un interruptor de apagado que fuese la existencia de un dominio, creo que me daría cuenta de que el domino existe sin necesidad de verlo por televisión.
¿Quien crees que programa los virus, uno de los teletubbies?
#16 No creo que le vuelva a pasar.
De todas formas en estos casos si hace falta secuestrar el dominio los gobiernos lo hacen y listo.
Mira que rápidos andaron en quitarle los dominios a megaupload sin orden judicial ni nada.
#21 Tu sabes como funciona el registro de dominios ¿no?... ¿No?
Va a ser que no.
Aparte de que es una gilipollez pensar que vaya a darse un conflicto internacional con... digamos Arabia Saudí por que alguien quite un dominio a un creador de spam, virus, etc...
Es algo que ocurre miles de veces a diario.
#27 Se le pide a la IANA y ya está, supongo
El tema es que no van a estar dando de bajas dominios por leyes de propiedad intelectual, pero si por amenazas graves como esta.
Imagino, tampoco estoy seguro de hasta que punto IANA tiene poder real
#66 Lo dicho, no parece para nada trivial y es un foco más de rastreo para el atacante, con el cual prácticamente no gana nada.
El hecho que exista ese interruptor de parada si quería utilizarlo seguramente sería para publicarlo anónimamente en el momento de querer detener la amenaza, en caso que no se descubriera antes. Contratar el dominio para que nadie pueda parar el ransomware es una bobada, para eso no pones el interruptor en primer lugar y listo. En cuanto el registrador de dominios recibiera un aviso que eso pertenece a un ransomware seguramente daría igual que lo hubiera contratado el atacante, se lo quitarían sin más.
#71 o hacen un dominio en la red tor, ya ves tu que problema. Si tal como me imagino ha comprado el software para hacer el ramsomware (por las meteduras de patas como dejar 2 veces el killswitch con el dominio sin registrar ni ofuscarlo) no le costaria demasiado hacerse con un dominio en la red tor.
#74 Para comprobar si el dominio de la red Tor existe debes primero conectar a la red Tor, algo que añade bastante complejidad a la comprobación y le quita mucha fiabilidad en tanto que el acceso a esa red puede haber sido bloqueado por cortafuegos empresariales.
Si tal como me imagino ha comprado el software para hacer el ramsomware (por las meteduras de patas como dejar 2 veces el killswitch con el dominio sin registrar ni ofuscarlo) no le costaria demasiado hacerse con un dominio en la red tor.
Si ha comprado el software como especulas a menos que éste tenga codificado que ese dominio lo debe comprobar en la red Tor el dominio fallaría en todos los casos, existiera o no.
#16 ¿Y dar pistas de donde mandar a unos yakuza al pagar el dominio con una tarjeta de crédito o una cuenta de Paypal? Es mil veces mejor tirarlo así y que la cepa funcione hasta que salga alguien que sepa hacer el trabajo de ingeniería inversa. Mucho menos riesgo...
(No soy el único por aquí con suficientes cosas nassis en la cabeza como para pensar como estos cabrones, ¿no? Tampoco hay que ser tan malicioso...)
Perdona, pensé que te referías a MalwareTech.
Desde luego, el autor de WannaCry podría haber ofuscado mejor el ejecutable (los dominios C2 aparecen tal cual). Además ha tenido varias semanas para preparar su botnet, podría haber elegido un sistema P2P, en vez de centralizado. Incluso estando centralizado, si hubiese pasado el malware por VMProtect, no hubiesen podido pararlo tan rápidamente.
#59 en que ha dejado un killswitch 2 veces sin registrar el dominio, probablemente haya comprado el programa para hacer el ramsomware de algun tercero y una base de datos de correos electronicos de algun spamer.
#4 Todas estas mierdas mutan en el momento en que todos los antivirus relevantes las detectan. El mismo dia que salió la amenaza, sobre las seis de la tarde, que es cuando miré yo, ya lo detectaban todos.
#25 Intentaré explicar sin equivocarme
El virus tiene dos fases, una en la que infecta a un equipo de la red, probablemente mediante un fichero adjunto en un correo electrónico que el usuario NO debería haber ejecutado. Aquí el problema es del usuario, no de la vulnerabilidad
Una vez ha infectado un terminal, se propaga por toda la red mediante una vulnerabilidad en protocolo SMB. Esto no deberia pasar si estuviera el parche puesto y los usuarios sanos no tienen forma de evitarlo.
Si un compañero tuyo ejecuta el virus y empieza a propagarse por la red, tú al estar actualizado no serías infectado ni tampoco colaborarías en la propagación.
Si no me equivoco si tu te conviertes en el paciente cero y si que estas actualizado tampoco puedes contagiar a los demás(aunque a ti si te afecta) ya que SMBv1 esta desactivado en ordenadores actualizados
#36 Según leí, no es cosa de ejecutar directamente el fichero o no, sino una vulnerabilidad de la vista previa al recibir un correo mediante outlook. Pero claro, es que según la noticia que mires te dice que es por eso o por cualquier otra razón, como que se transmite por red, o que le das doble clic y lo abres, etc.
Gracias por la aclaración. Si te he entendido bien, yo no puedo propagarlo aunque me envíen a mí el archivo (o virus) en cuestión, pues yo tengo el windows actualizado
#10 No te creas: Un cliente acaba de plantearme un problema:
Tiene 40 máquinas Windows 10 Prof que dan un error a la hora de actualizarse. La actualización dice que no se ha podido instalar y el equipo entra en bucle.
Al parecer si esta actualización no se instala, las siguientes que vienen detrás tampoco: KB3194496
Estoy investigando ahora mismo el problema para ver porqué no se actualiza.
Imagino que habrá mucha gente en situaciones como esta: En su día no le dieron importancia a este problema y ahora los tienen de corbata.
#85 Ay dios, ay que si me lo creo. Un Windows con problemas a la hora de instalar actualizaciones y cuya única respuesta es un código de error y ponte a buscar y probar hotfixes y tal. El horror.
#85 Si todas esas maquinas dan error al actualizar, es porque la imagen de Windows esta dañada, y hasta que no hagas una re-instalacion con una imagen correcta y verificada eso no cambiara. Si todas las instalaron desde la misma imagen pues alli tienes tu respuesta.
En el primer enlace que tú mismo pusiste en #2 se ve que no tiene ninguna función para mutar.
Ese enlace muestra en detalle el funcionamiento.
"Solo he intercambiado "precisión ingenieril en el lenguaje" vs "inteligibilidad para los no técnicos" e "impacto periodístico" y parece que ha tenido exito (a llegado a portada). "
Pues muy mal.
Estás creando confusión. Y si lo hiciste para "crear impacto", captar atención / votos / karma ... es sensacionalismo. Además, por no respetar el titular original es microblogging.
Podías haber dicho que "ha aparecido una versión de WannaCry sin killswitch", es decir, sin la forma de desactivación que tenía el original.
Como dijo #61 hay virus o malware en general que sí muta, modifica su código para evitar ser detectado (por antivirus), pero este no es el caso. Y al leer el titular pensé que podría haber sido eso.
#12 No, el core no ha sido afectado, te lo digo con conocmiento. Una central de conmutación Alcatel 1240, o o una Ericsson AXE, incluso aunque los APG que lleva tienen un windows viejuno no están conectadas a la red corporativa donde están los empleados del grupo, no permiten conectar por SMB ni por RDP y tampoco están abiertos en esa red.
El problema son las estaciones de trabajo. Si alguien le tiene que dar un botón para autorizar una portabilidad, por ejemplo, y su PC está infectado y bloqueado pues no puede hacerlo.
#61 Que yo sepa no, no lo es. Solo he intercambiado "precisión ingenieril en el lenguaje" vs "inteligibilidad para los no técnicos" e "impacto periodístico" y parece que ha tenido exito (a llegado a portada).
Y tengo que decir que tampoco es técnicamente un "Virus", es un "gusano"...
(te voto positivo el comentario por saber apreciar y exigir la precisión técnica en el lenguaje)
#84 es un virus, la infección se produce mediante un archivo que el usuario ejecuta en el ordenador, que después también se comporta como un gusano infectando todos los ordenadores que estén en red con este... vale, pero claro que es un virus, ¿cómo no va a ser un virus? Los "gusanos" son virus también, con otra forma de propagarse, pero virus todos. Este desde luego, de primeras entra de la forma más tradicional del mundo
#22 Sí te he entendido. ¿Me has entendido tu a mí?
¿Donde siquiera insinúo algo semejante?
¿Desde cuando es un problema sacar los parches pronto?
¿Es más tienen soporte de Microsoft los Windows a los que afectaría?
No estaría sacando el parche para ningún Windows al que le pudiese afectar.
#24 no seria la primera vez que le hechan la culpa a microsoft por los parches que rompen cosas o las actualizaciones de seguridad desactivadas por culpa de gente que piensa que los parches rompen cosas (como los inutiles que se han afectado por este virus)
#26 ¿Vuelvo a preguntar alguno de los Windows que actualmente están soportados por Windows Update utilizan el SMB1?
En cualquier caso, si lo han bloqueado (SMB1) el 14/3/2017 también lo podía haber bloqueado el 9/9/2016.
#33 Vamos a ver si nos entendemos. A lo mejor es que yo voy más rápido y miro más adelante.
¿El SMB 1.0 le necesitas tener activo para conectarte a qué Windows?
¿Que versiones de Windows?
¿95, 98, Millenium, NT, 2000, Vista,7,8,10,...?
#41 Creo que no me entiendes.
1) ¿Para qué versiones de Windows es estrictamente necesario tener activado el SMB 1.0 para poder comunicarse en red, compartir archivos e impresoras,etc...?
2) ¿Tienen soporte esas versiones en Windowsupdate?
#46 te he dicho que la caracteristica viene activa hasta en un windows 10 RS3, que ser necesario, ni idea, y dado que rs3 es la proxima version de windows, si, si tiene soporte en windows update.
#49 La pregunta era totalmente específica, no daba lugar a margen de confusión.
Yo te lo aclaro: Ningún Windows de los que están actualmente soportados necesitan depender SMB 1.0 para compartir archivos e impresoras.
Si ningún Windows de los que tienen necesidad del SMB 1.0 está soportado en Windowsupdate, Microsoft no podía romper gran cosa dado los equipos que sí dependían de windowsupdate no tenían acceso a el al no estar soportados.
#26 Los parches, en general son buenos y arreglan vulnerabilidades. Pero a veces rompen cosas.
Yo tuve problemas con Xindows XP y un ServicePack. Lo probé varias veces y al final lo tuve que quitar porque me daba más problemas de los que solucionaba. Pero como era para uso personal me daba igual.
No quiero decir que en este caso los administradores de sistema no tengan culpa. Si han tardado 2 meses es bastante. Aunque como dicen por ahí, en sistemas críticos a veces no pueden probarlo al momento. Lo que quiero decir es que a veces los parches sí rompen cosas.
Hablo desde la iGnorancia total. No se supone que solo afecta a los SO que no están actualizados ? Si sistemas clave no están actualizados nos lo merecemos.
#8 Claro, en infraestructuras críticas todo el mundo sabe que se actualizan los parches el mismo día que salen. No se hacen pruebas en entornos controlados por si hay incompatibilidad con el software que corre el SO de los sistemas críticos.
Por poner un ejemplo, control de tráfico usa software X para controlar semáforos y señales de una ciudad, actualizas un parche de seguridad y el software empieza a comportarse de forma errática aunque no aparezca nada en la interfaz de usuario. De repente se abren todos los paso a nivel de la ciudad o se abren tres semáforos a la vez en un cruce.
Quien dice tráfico dice sensores de alarma de un hospital, asistencia en quirófano, trenes, aeropuertos, gps ... La web de Menéame!
Todo software que se introduce en una red corporativa pasa siempre controles bastante serios antes de implementarse, otra cosa son los equipos exteriores de la red corporativa, esos pueden tener políticas de seguridad diferentes y más laxas a la hora de actualizar pues si cascan no cae la empresa.
#9 Hombre, que tomes tus precauciones antes de instalar parches, vale. Que te haya pillado la "primera oleada" del troyano... bueno, puede tener su explicación pero ¿ahora? ahora ya no la hay.
Esto me recuerda aquel año que fui a la CampusParty. Sasser llevaba ya corriendo por ahí alegremente desde abril. La Campus Party se celebró en julio. Adivina qué le pasó a un montón de gente nada más conectarse a la red. Exacto, que se infectaron con el gusano ¿por qué? ¿por que XP era inseguro? no, por la inutilidad de los usuarios que llevaban sus equipos sin actualizar.
#10 Pero el usuario en este caso es lo de menos. El usuario que se joda por inútil el problema son las empresas grandes y sistemas críticos. De todos modos habría que ver cuántos de los sistemas críticos de telefónica fueron afectados.
Porque no me creo que el core haya sido infectado. Externos e incluso intranet vale... Pero de ahí hacia dentro hay un mundo.
#10Hombre, que tomes tus precauciones antes de instalar parches, vale. Que te haya pillado la "primera oleada" del troyano... bueno, puede tener su explicación pero ¿ahora? ahora ya no la hay.
Por desgracia no es tan fácil en algunos casos. Conozco el caso de una empresa donde la actualización que soluciona este exploit les dejaba una de las versiones de WIndows fuera de juego por incompatibilidades con el software que utilizan día a día. ¿Cuál es la solución? Si no parcheas quedas a merced del exploit y si parcheas no puedes desarrollar tu actividad económica. Como mucho podrías temporalmente bloquear el servidor de SMB en los equipos vulnerables siempre y cuando te lo puedas permitir.
#91 pregunto, si paro el servicio smb de un equipo, ¿puede este equipo conectarse a ficheros smb de servidor externo? Dicho de otra forma, al parar ese servicio se para el servidor smb local o tambien para el cliente smb
#9 6 palabras: "han tenido DOS meses para actualizar" y para tu informacion un amigo con 5000 maquinas en su trabajo no se ha visto afectado, ni ninguno de mis clientes.
#13 si tienes una buena politica de parches, investigar en un grupo de maquinas si te va a afectar o no, un buen filtro de correo electronico, unas reglas de ficheros permitidos, si, si tienes mejor politica de seguridad que telefonica. De hecho, lo proximo que implementare sera bloquear el desactivar el protected view para que los ineptos no abran ficheros sospechosos que se cuelen por el correo electronico/descargas directas https://technet.microsoft.com/en-us/library/cc179230.aspx?f=255&MSPPError=-2147217396
Los que aparecen, ábrelos y mírale la fecha correcta.
Por otro lado, este malware viene de la salida del parche, así que aunque tardaran cinco segundos en publicar el parche, el tiempo del malware sería el mismo y las consecuencias las mismas porque el malware deriva del parche, igual que ocurrió con sassher o blaster, no recuerdo cual de los dos, que el virus se sacó a partir de la información que aportó el parche.
Tus falsos seis meses son irrelevantes aunque fuesen ciertos.
#34 lo suyo es bajarse el parche desde otro ordenador y meterselo a mano, si antes de conectarse a internet (apaga la wifi con boton de hardware, (o desenchufa el router o el cable de red) vete appwiz.cpl agregar o quitar caracteristicas quita https://msdnshared.blob.core.windows.net/media/2016/09/image497.png (pero vamos detras de un router no se te infectara casi seguro al menos que abras un fichero infectado)
#34 Si lo tienes en casa sin ningún equipo más en la LAN sin parchear no deberías de tener ningún problema salvo que te pongas a abrir correos sospechosos. Enciéndelo y actualiza antes de hacer cualquier cosa. Insisto, siempre y cuando no tengas otro equipo vulnerable en la LAN.
#11 Quizá tu amigo es un crack de la cyberseguridad, o quiza en esa empresa de 5000 maquinas no usan un hardware específico, algo antiguo pero que funciona perfectamente, y que solo funciona con un software también específico, que ya no se actualiza y solo funciona con Windows XP. Por poner uno de los muchos ejemplos posibles.
Lo digo por si piensas que en Telefónica o la sanidad inglesa tienen a inútiles como responsables de la seguridad informática. Que alguno habrá, quizá, pero pasaría mucho más a menudo y menos globalmente si no hubiera ahí, al menos, un puñado de buenos profesionales.
#51 hace 2 años o asi que actualizaron todos los xp que tenian a 7 y es una persona que como yo se preocupa en estar al dia de las mierdas estas, no hace falta ser un crack de cyberseguridad, solo tener unos jefes que no te pongan palos a las ruedas para aplicar politicas se seguridad que impidan la propagacion de malware.
#53solo tener unos jefes que no te pongan palos a las ruedas para aplicar politicas se seguridad que impidan la propagacion de malware
No pides poco tú...
#95 quieras que no este ramsomware va a tener muchos beneficios para los sysadmins, les va a hacer ver a los jefes de muchas empresas la importancia de las actualizaciones de seguridad, asi como el uso de GPOs estrictas bloqueando la apertura de ficheros .js y similares, de evitar que la peña le de a editar a ficheros bajados de internet que puedan contener macros y un largisimo etc.
#97 Ojalá... de todas formas creo que los "palos en las ruedas" más grandes son departamentos de sistemas demasiado pequeños para lo que realmente necesita una empresa según que tamaños. Muchas veces un administrador proporciona una falsa sensación de seguridad porque hecha de 10 a 12 horas porque no dispone de recursos para evitar este tipo de amenazas y los jefes no sueltan más recursos porque no son conscientes del peligro que corren debido a que aun no te has pegado la ostia.
DOS MESES, que han pasado dos putos meses desde el parche. Quedarse de brazos cruzados esperando a verla venir durante dos meses, es de incompetentes, así de simple.
#9 Déjame corregirte, porque veo que eres de esas personas que trata de dar lecciones con información sesgada.
Las infraestructuras críticas están aisladas de otras redes y tienen acceso restringido, además están gestionadas por personal con la adecuada formación. Las pruebas de validación pueden y deben ser extendidas, además de contar con soporte prioritario del "vendor" de la solución.
En equipos con un vector de acceso tan sencillo como son equipos de usuarios que están conectados a Internet y que un simple email malicioso no filtrado por sus servidores de correo puede provocar la infección, las aplicación de actualizaciones de seguridad catalogadas como Crítica tienen la máxima prioridad en estos casos. En cualquier gran empresa se desarrolla operativa para cualquier sistema y lo frecuente es aplicar en plazo de 7/15 días la actualización, no de 2 meses (que sería más, si no los hubiesen infectado).
Pueden estar tranquilos de que "sólo" ha cifrado ficheros, si se hubiese producido un robo de información podría ser un desastre para la reputación de Telefónica.
#62 Gracias por la aclaración. Pero más o menos es lo que he escrito yo.
Solo que yo lo he dividido en externos, internos y core. Pero bueno, está bien que alguien lo aclare debidamente.
#8 Yo lo que me pregunto es si este tipo de virus es ese que se mete en las máquinas aunque no les haga nada pero se va propagando a otras igualmente. Es decir, yo tengo mi máquina actualizada y no me hace nada, pero... ¿podría meterse igualmente y seguir propagándose a otros?
Mira que he leído unas cuantas noticias desde que ha salido esto y no he visto ninguna que deje claras las cosas (de hecho muchas lían más que ayudar).
#87 Si tienes un sistema no actualizado, selecciona el tuyo de http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 y actualizalo. Si no lo haces tus ficheros y archivos podrían ser encriptados, (quedando inutilizables hasta que les pagues por desencriptarlos)
#98 El parche es para que el virus no te entre sin que tú hagas nada.
Si abres el correo, y no tienes antivirus (o ignoras el aviso), y no tienes UAC (o le das a aceptar), y no tienes SmartScreen (o le das a aceptar), y ejecutas el virus... la has cagado con o sin parche.
#87 No se nota, es como la corrupción, te dicen que esta pero no la notas , estas cosas les afectan a otros, tu por si acaso no corras y ponte el cinturón pero sobre todo mucha suerte somos muchos y no nos puede tocar a todos
#100 que no notas la corrupción??? Hombre, yo la tengo muy presente en cada bache en la carretera, en los peajes desorbitados de las autopistas, en el recibo de la luz, en los impuestos, en las colas en los hospitales, en la educación empobrecida, en la prensa cuyas noticias no te puedes creer, en lo difícil que es acceder a un buen puesto de trabajo... Etc etc.
¿No existe en Win sistemas Lite (de verdad)? con servicios/drivers mínimos,minimos. Una versión mantenida a largo termino que permita instalar el SW personalizado sin riesgos de 'romper' nada por ser estable y tener los minimos componentes que necesita..¿?
El otro dia borrando las reglas del firewall detecté que el 'explorador de equipos' deja de funcionar si no hay ciertas reglas definidas (It is a design deficiency in Windows File and Printer Sharing to check for specific rules, instead of actually trying to access the network. ... https://tinywall.pados.hu/faq.php ).
Vaya mierda parches de diseño , por no hablar de los (espero) que antiguos problemas con los dll's y sus conflictos/versiones que tiene este SO.... parece que sea capa sobre capa de apaños para mantener compatibilidades hacia atrás juntos nuevas 'features' que pocos necesitan....no se, desconozco las virgerias que tendrán los Win-Servers pero realmente se me haria dificil confiar cualquier tipo de servicio minimamente importante/critico.
Los conflictos de DLLs son cosa de Windows XP y anteriores; a partir de Windows Vista el sistema se encarga de guardar las DLLs y que cada programa "vea" la versión que le corresponde.
Comentarios
Caramba. ¿Quién podría haber pensado que si se hace pública la forma de anularlo los autores lo modificarían?
#4 bueno, con un poco de suerte los administradores se han puesto las pilas y han parcheado el agujero de seguridad (viendo como andaba windows update espero que si)
#5 Jajajajaj claro claro. No creas. El problema no está en sitios donde los administradores de sistemas puedan tener control sobre las actualizaciones, esos algunos habrán actualizado y otros seguirán ahí a su rollo como si no fuese con ellos.
Ahora el problema está en todas las empresas donde no hay tanto control como para que el administrador de sistemas pueda forzar una actualización y lo tenga que hacer cada usuario.
Veréis que fiesta el lunes
#47 yo a mis clientes avise desde que empezaron las primeras alarmas de que no abriesen ningun correo raro sobretodo si provenia de telefonica y compañia, y de todas formas los tengo bien enseñados, resultado 0 infectados .
#57 Eso está muy bien, la concienciación por la seguridad. Pero la inmensa mayoría de los afectados no han abierto ningún "correo raro", se han infectado por la vulnerabilidad en SMB.
Con un solo infectado, podían haber caído todos los equipos de la red de tu cliente.
#63 ya, pero la parte "los tengo bien enseñados" es "desactivar las actualizaciones de windows o postergarlas demasiado es malo"
#64 cuantos latigazos dices que te ha costado meterles eso en la cabeza?
#57 De las grandes pifias que se pueden cometer una de ellas, si cabe la mayor, es fiarse de tu clientes/usuarios
Eso de "bien enseñados" es una auto mentira que te haces por que no creo que seas tan inocente como para creerte que ninguno no va a meter la gamba por mucho que lo digas.
#72 no, si no me fio, por eso los aviso de cada mierda que sale
#75 Estoy seguro que alguno como le entre uno, tardara cero coma en pensar "voy a hacer click a ver por que me decía este friki que no hiciera click"
y antes incluso de pensar asomar esa frase completa en su cerebro ya le habrá dado.
#4 Hombre, si yo liberase un virus malo malísimo y para detenerlo hubiese puesto un interruptor de apagado que fuese la existencia de un dominio, creo que me daría cuenta de que el domino existe sin necesidad de verlo por televisión.
¿Quien crees que programa los virus, uno de los teletubbies?
#15 lo raro es que el que hizo el virus no registrase el dominio previamente sin asignarle una ip
#16 No creo que le vuelva a pasar.
De todas formas en estos casos si hace falta secuestrar el dominio los gobiernos lo hacen y listo.
Mira que rápidos andaron en quitarle los dominios a megaupload sin orden judicial ni nada.
#19 vete tu a secuestrar un dominio de un pais no amistoso a occidente o uno de la red tor.
#21 Tu sabes como funciona el registro de dominios ¿no?... ¿No?
Va a ser que no.
Aparte de que es una gilipollez pensar que vaya a darse un conflicto internacional con... digamos Arabia Saudí por que alguien quite un dominio a un creador de spam, virus, etc...
Es algo que ocurre miles de veces a diario.
#23 no es tan sencillo secuestrar un dominio, mira roja directa y compañia.
#27 Se le pide a la IANA y ya está, supongo
El tema es que no van a estar dando de bajas dominios por leyes de propiedad intelectual, pero si por amenazas graves como esta.
Imagino, tampoco estoy seguro de hasta que punto IANA tiene poder real
#31 Por fin. Alguien que sí entiende como funcionan los dominios.
#48
Yo recibí un correo phising de un banco, contacté con él registrador ( no con IANA) , y lo suspendieron rápido.
#27 El Gobierno confisca el dominio sareb.es para entregárselo al banco malo
El Gobierno confisca el dominio sareb.es para entr...
nacionred.comQue va, no es nada sencillo según cuales.
#16 No sé si es trivial contratar un dominio de forma completamente anónima y sin dejar ningún rastro.
#65 trivial... puedes rellenar datos falsos y pagar con una tarjeta de credito robada. o
https://www.mihosting.net/paga-tu-hosting-y-dominios-con-tus-bitcoins/
#66 Lo dicho, no parece para nada trivial y es un foco más de rastreo para el atacante, con el cual prácticamente no gana nada.
El hecho que exista ese interruptor de parada si quería utilizarlo seguramente sería para publicarlo anónimamente en el momento de querer detener la amenaza, en caso que no se descubriera antes. Contratar el dominio para que nadie pueda parar el ransomware es una bobada, para eso no pones el interruptor en primer lugar y listo. En cuanto el registrador de dominios recibiera un aviso que eso pertenece a un ransomware seguramente daría igual que lo hubiera contratado el atacante, se lo quitarían sin más.
#71 o hacen un dominio en la red tor, ya ves tu que problema. Si tal como me imagino ha comprado el software para hacer el ramsomware (por las meteduras de patas como dejar 2 veces el killswitch con el dominio sin registrar ni ofuscarlo) no le costaria demasiado hacerse con un dominio en la red tor.
#74 Para comprobar si el dominio de la red Tor existe debes primero conectar a la red Tor, algo que añade bastante complejidad a la comprobación y le quita mucha fiabilidad en tanto que el acceso a esa red puede haber sido bloqueado por cortafuegos empresariales.
Si tal como me imagino ha comprado el software para hacer el ramsomware (por las meteduras de patas como dejar 2 veces el killswitch con el dominio sin registrar ni ofuscarlo) no le costaria demasiado hacerse con un dominio en la red tor.
Si ha comprado el software como especulas a menos que éste tenga codificado que ese dominio lo debe comprobar en la red Tor el dominio fallaría en todos los casos, existiera o no.
#16 ¿Y dar pistas de donde mandar a unos yakuza al pagar el dominio con una tarjeta de crédito o una cuenta de Paypal? Es mil veces mejor tirarlo así y que la cepa funcione hasta que salga alguien que sepa hacer el trabajo de ingeniería inversa. Mucho menos riesgo...
(No soy el único por aquí con suficientes cosas nassis en la cabeza como para pensar como estos cabrones, ¿no? Tampoco hay que ser tan malicioso...)
#16 para mí que se confió demasiado en lo listo que era el y lo tontos que eran los demás y no pensó que lo encontrarían
#16 a su nombre, poniendo su dirección.
#42 dios el tio ese es inepto total. cc #15
#45
¿En qué te basas para decir eso?Desde luego, el autor de WannaCry podría haber ofuscado mejor el ejecutable (los dominios C2 aparecen tal cual). Además ha tenido varias semanas para preparar su botnet, podría haber elegido un sistema P2P, en vez de centralizado. Incluso estando centralizado, si hubiese pasado el malware por VMProtect, no hubiesen podido pararlo tan rápidamente.
#59 en que ha dejado un killswitch 2 veces sin registrar el dominio, probablemente haya comprado el programa para hacer el ramsomware de algun tercero y una base de datos de correos electronicos de algun spamer.
#15 ese no era el argumento de Rogue One?
#15 no creo que el comentario va por ese camino, sino del rollo: "como ya saben cómo detenerlo, pues lo modifico y les vuelvo a joder la marrana".
#4 En efecto
#4 jajajaja pero si ellos hisieron el codigo, como no iban a saber lo que lo detiene!! No era un secreto!
#4 Todas estas mierdas mutan en el momento en que todos los antivirus relevantes las detectan. El mismo dia que salió la amenaza, sobre las seis de la tarde, que es cuando miré yo, ya lo detectaban todos.
#25 Intentaré explicar sin equivocarme
El virus tiene dos fases, una en la que infecta a un equipo de la red, probablemente mediante un fichero adjunto en un correo electrónico que el usuario NO debería haber ejecutado. Aquí el problema es del usuario, no de la vulnerabilidad
Una vez ha infectado un terminal, se propaga por toda la red mediante una vulnerabilidad en protocolo SMB. Esto no deberia pasar si estuviera el parche puesto y los usuarios sanos no tienen forma de evitarlo.
Si un compañero tuyo ejecuta el virus y empieza a propagarse por la red, tú al estar actualizado no serías infectado ni tampoco colaborarías en la propagación.
Si no me equivoco si tu te conviertes en el paciente cero y si que estas actualizado tampoco puedes contagiar a los demás(aunque a ti si te afecta) ya que SMBv1 esta desactivado en ordenadores actualizados
#36 Según leí, no es cosa de ejecutar directamente el fichero o no, sino una vulnerabilidad de la vista previa al recibir un correo mediante outlook. Pero claro, es que según la noticia que mires te dice que es por eso o por cualquier otra razón, como que se transmite por red, o que le das doble clic y lo abres, etc.
Gracias por la aclaración. Si te he entendido bien, yo no puedo propagarlo aunque me envíen a mí el archivo (o virus) en cuestión, pues yo tengo el windows actualizado
#36 acabo de mirar en 3 windows 10 con todas las actualizaciones instaladas y la casilla de smb esta activa.
https://msdnshared.blob.core.windows.net/media/2016/09/image497.png
#40 Error mio entonces, lo leí por ahi arriba, culpa mia por fiarme de los meneantes
Aunque eso no cambia mi respuesta
#67 si, esta claro que es critico tener los ordenadores actualizados.
#10 No te creas: Un cliente acaba de plantearme un problema:
Tiene 40 máquinas Windows 10 Prof que dan un error a la hora de actualizarse. La actualización dice que no se ha podido instalar y el equipo entra en bucle.
Al parecer si esta actualización no se instala, las siguientes que vienen detrás tampoco: KB3194496
Estoy investigando ahora mismo el problema para ver porqué no se actualiza.
Imagino que habrá mucha gente en situaciones como esta: En su día no le dieron importancia a este problema y ahora los tienen de corbata.
Tic-tac, tic-tac
#85 Ay dios, ay que si me lo creo. Un Windows con problemas a la hora de instalar actualizaciones y cuya única respuesta es un código de error y ponte a buscar y probar hotfixes y tal. El horror.
#85 solucion temporal rapida, que desactive smb1 en agregar o quitar programas->añadir o quitar caracteristicas.
#85 Si todas esas maquinas dan error al actualizar, es porque la imagen de Windows esta dañada, y hasta que no hagas una re-instalacion con una imagen correcta y verificada eso no cambiara. Si todas las instalaron desde la misma imagen pues alli tienes tu respuesta.
#85 si es lo que dice #143, es posible que se pueda arreglar la instalación con este comando: sfc /scannow
Lo mejor, la etiqueta
#1 por si no lo pilla alguno El director del 24Horas provoca risas en Twitter por decir esto sobre el ciberataque
El director del 24Horas provoca risas en Twitter p...
huffingtonpost.es#3 vaya parece que ha algún "admin" no le ha gustado la broma de la etiqueta "ramonguer",
El director del 24Horas provoca risas en Twitter por decir esto sobre el ciberataque
El director del 24Horas provoca risas en Twitter p...
huffingtonpost.esMe la acaban de cambiar por otra mas "taxonómica" (ransomware).
El mayor ciber-ataque del mundo golpea a 150 países y la amenaza esta "escalando"
http://money.cnn.com/2017/05/14/technology/ransomware-attack-threat-escalating/index.html
otras relacionadas:
Funcionamiento y análisis del ransomware WannaCry (incluye clave) [ENG]
Funcionamiento y análisis del ransomware WannaCry ...
blogs.technet.microsoft.comMicrosoft lanza un parche para Windows XP que protege al viejo sistema del ransomware WannaCrypt
Microsoft lanza un parche para Windows XP que prot...
genbeta.comUn informático en el lado del mal: El ataque del ransomware #WannaCry
Un informático en el lado del mal: El ataque del r...
elladodelmal.comDescubren por casualidad un 'interruptor' que evita que WannaCry se extienda, simplemente registrando un dominio [EN]
Descubren por casualidad un 'interruptor' que evit...
en.mexico.pueblosamerica.com...
#0 #84
"Que yo sepa no "
En el primer enlace que tú mismo pusiste en #2 se ve que no tiene ninguna función para mutar.
Ese enlace muestra en detalle el funcionamiento.
"Solo he intercambiado "precisión ingenieril en el lenguaje" vs "inteligibilidad para los no técnicos" e "impacto periodístico" y parece que ha tenido exito (a llegado a portada). "
Pues muy mal.
Estás creando confusión. Y si lo hiciste para "crear impacto", captar atención / votos / karma ... es sensacionalismo. Además, por no respetar el titular original es microblogging.
Podías haber dicho que "ha aparecido una versión de WannaCry sin killswitch", es decir, sin la forma de desactivación que tenía el original.
Como dijo #61 hay virus o malware en general que sí muta, modifica su código para evitar ser detectado (por antivirus), pero este no es el caso. Y al leer el titular pensé que podría haber sido eso.
#12 No, el core no ha sido afectado, te lo digo con conocmiento. Una central de conmutación Alcatel 1240, o o una Ericsson AXE, incluso aunque los APG que lleva tienen un windows viejuno no están conectadas a la red corporativa donde están los empleados del grupo, no permiten conectar por SMB ni por RDP y tampoco están abiertos en esa red.
El problema son las estaciones de trabajo. Si alguien le tiene que dar un botón para autorizar una portabilidad, por ejemplo, y su PC está infectado y bloqueado pues no puede hacerlo.
¿"Muta"? ¿Qué pasa, es polimórfico?
#61 Que yo sepa no, no lo es. Solo he intercambiado "precisión ingenieril en el lenguaje" vs "inteligibilidad para los no técnicos" e "impacto periodístico" y parece que ha tenido exito (a llegado a portada).
Y tengo que decir que tampoco es técnicamente un "Virus", es un "gusano"...
(te voto positivo el comentario por saber apreciar y exigir la precisión técnica en el lenguaje)
#84 es un virus, la infección se produce mediante un archivo que el usuario ejecuta en el ordenador, que después también se comporta como un gusano infectando todos los ordenadores que estén en red con este... vale, pero claro que es un virus, ¿cómo no va a ser un virus? Los "gusanos" son virus también, con otra forma de propagarse, pero virus todos. Este desde luego, de primeras entra de la forma más tradicional del mundo
#18 ¿6 meses es sacar rápido un parche que lo que hace es deshabilitar un servicio obsoleto mediante una llave de registro?
#20 digo, si sacan el parche demasiado rapido y rompen algo por el camino, la culpa tambien sera de microsoft no?
#22 Sí te he entendido. ¿Me has entendido tu a mí?
¿Donde siquiera insinúo algo semejante?
¿Desde cuando es un problema sacar los parches pronto?
¿Es más tienen soporte de Microsoft los Windows a los que afectaría?
No estaría sacando el parche para ningún Windows al que le pudiese afectar.
#24 no seria la primera vez que le hechan la culpa a microsoft por los parches que rompen cosas o las actualizaciones de seguridad desactivadas por culpa de gente que piensa que los parches rompen cosas (como los inutiles que se han afectado por este virus)
#26 ¿Vuelvo a preguntar alguno de los Windows que actualmente están soportados por Windows Update utilizan el SMB1?
En cualquier caso, si lo han bloqueado (SMB1) el 14/3/2017 también lo podía haber bloqueado el 9/9/2016.
#29 https://msdnshared.blob.core.windows.net/media/2016/09/image_thumb410.png si.
https://msdnshared.blob.core.windows.net/media/2016/09/image497.png
#33 Vamos a ver si nos entendemos. A lo mejor es que yo voy más rápido y miro más adelante.
¿El SMB 1.0 le necesitas tener activo para conectarte a qué Windows?
¿Que versiones de Windows?
¿95, 98, Millenium, NT, 2000, Vista,7,8,10,...?
#35 utilizarlo activamente ni idea, tenerlo instalado, hasta en un 10, programas que lo necesiten, ni idea.
#41 Creo que no me entiendes.
1) ¿Para qué versiones de Windows es estrictamente necesario tener activado el SMB 1.0 para poder comunicarse en red, compartir archivos e impresoras,etc...?
2) ¿Tienen soporte esas versiones en Windowsupdate?
#46 te he dicho que la caracteristica viene activa hasta en un windows 10 RS3, que ser necesario, ni idea, y dado que rs3 es la proxima version de windows, si, si tiene soporte en windows update.
#49 La pregunta era totalmente específica, no daba lugar a margen de confusión.
Yo te lo aclaro: Ningún Windows de los que están actualmente soportados necesitan depender SMB 1.0 para compartir archivos e impresoras.
Si ningún Windows de los que tienen necesidad del SMB 1.0 está soportado en Windowsupdate, Microsoft no podía romper gran cosa dado los equipos que sí dependían de windowsupdate no tenían acceso a el al no estar soportados.
#54 para ti la perra gorda.
#54 Te va a contestar Ned Pyle, que es el responsable de SMB para Microsoft:
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
#26 Los parches, en general son buenos y arreglan vulnerabilidades. Pero a veces rompen cosas.
Yo tuve problemas con Xindows XP y un ServicePack. Lo probé varias veces y al final lo tuve que quitar porque me daba más problemas de los que solucionaba. Pero como era para uso personal me daba igual.
No quiero decir que en este caso los administradores de sistema no tengan culpa. Si han tardado 2 meses es bastante. Aunque como dicen por ahí, en sistemas críticos a veces no pueden probarlo al momento. Lo que quiero decir es que a veces los parches sí rompen cosas.
Por cierto, ¿hechan?¿con h?
#78 por eso puse "por los parches que rompen cosas" y no "por los parches que pueden romper cosas"
Hablo desde la iGnorancia total. No se supone que solo afecta a los SO que no están actualizados ? Si sistemas clave no están actualizados nos lo merecemos.
#8 Claro, en infraestructuras críticas todo el mundo sabe que se actualizan los parches el mismo día que salen. No se hacen pruebas en entornos controlados por si hay incompatibilidad con el software que corre el SO de los sistemas críticos.
Por poner un ejemplo, control de tráfico usa software X para controlar semáforos y señales de una ciudad, actualizas un parche de seguridad y el software empieza a comportarse de forma errática aunque no aparezca nada en la interfaz de usuario. De repente se abren todos los paso a nivel de la ciudad o se abren tres semáforos a la vez en un cruce.
Quien dice tráfico dice sensores de alarma de un hospital, asistencia en quirófano, trenes, aeropuertos, gps ... La web de Menéame!
Todo software que se introduce en una red corporativa pasa siempre controles bastante serios antes de implementarse, otra cosa son los equipos exteriores de la red corporativa, esos pueden tener políticas de seguridad diferentes y más laxas a la hora de actualizar pues si cascan no cae la empresa.
#9 Hombre, que tomes tus precauciones antes de instalar parches, vale. Que te haya pillado la "primera oleada" del troyano... bueno, puede tener su explicación pero ¿ahora? ahora ya no la hay.
Esto me recuerda aquel año que fui a la CampusParty. Sasser llevaba ya corriendo por ahí alegremente desde abril. La Campus Party se celebró en julio. Adivina qué le pasó a un montón de gente nada más conectarse a la red. Exacto, que se infectaron con el gusano ¿por qué? ¿por que XP era inseguro? no, por la inutilidad de los usuarios que llevaban sus equipos sin actualizar.
#10 Pero el usuario en este caso es lo de menos. El usuario que se joda por inútil el problema son las empresas grandes y sistemas críticos. De todos modos habría que ver cuántos de los sistemas críticos de telefónica fueron afectados.
Porque no me creo que el core haya sido infectado. Externos e incluso intranet vale... Pero de ahí hacia dentro hay un mundo.
#10 Hombre, que tomes tus precauciones antes de instalar parches, vale. Que te haya pillado la "primera oleada" del troyano... bueno, puede tener su explicación pero ¿ahora? ahora ya no la hay.
Por desgracia no es tan fácil en algunos casos. Conozco el caso de una empresa donde la actualización que soluciona este exploit les dejaba una de las versiones de WIndows fuera de juego por incompatibilidades con el software que utilizan día a día. ¿Cuál es la solución? Si no parcheas quedas a merced del exploit y si parcheas no puedes desarrollar tu actividad económica. Como mucho podrías temporalmente bloquear el servidor de SMB en los equipos vulnerables siempre y cuando te lo puedas permitir.
#91 pregunto, si paro el servicio smb de un equipo, ¿puede este equipo conectarse a ficheros smb de servidor externo? Dicho de otra forma, al parar ese servicio se para el servidor smb local o tambien para el cliente smb
#10 Me acuerdo de esa Campus Party, estuve allí, menudo festival fue entre ese virus y la película de la Carmen de Mairena.
Yo no reinstalé ni una sola vez ni me atreví a ver la película.
#9 6 palabras: "han tenido DOS meses para actualizar" y para tu informacion un amigo con 5000 maquinas en su trabajo no se ha visto afectado, ni ninguno de mis clientes.
#11 Enhorabuena a mi tampoco me afectó y eso no quiere decir que tenga mejor seguridad que telefónica, sólo que somos menos externos en mi red local.
#13 si tienes una buena politica de parches, investigar en un grupo de maquinas si te va a afectar o no, un buen filtro de correo electronico, unas reglas de ficheros permitidos, si, si tienes mejor politica de seguridad que telefonica. De hecho, lo proximo que implementare sera bloquear el desactivar el protected view para que los ineptos no abran ficheros sospechosos que se cuelen por el correo electronico/descargas directas https://technet.microsoft.com/en-us/library/cc179230.aspx?f=255&MSPPError=-2147217396
#14 Claro, que telefónica no tiene TODO eso implementado y más. La diferencia entre 5000 y 500 000 ordenadores es "sutil", una minucia casi...
#11 6 meses tardó Microsoft en sacar el parche.
¿es más culpa del usuario que no actualiza en 2 meses o de MS por no sacarle en 6?
#17 oh si claro y si rompe algo por el camino la culpa tambien es de microsoft por sacar el parche demasiado rapido no?
#17 ¿seis meses? ¿Fuente? En portada tienes un comunicado de Microsoft que habla de 10 días.
#17 No fueron seis meses, esa es la fecha en que se reservó la entrada. (acerca del link que me pusiste en otro comentario)
No hay ningún registro en el período que mencionas: https://www.google.es/search?q=%22CVE-2017-0145%22&tbs=cdr:1,cd_min:2/1/2016,cd_max:1/1/2017&start=0
Los que aparecen, ábrelos y mírale la fecha correcta.
Por otro lado, este malware viene de la salida del parche, así que aunque tardaran cinco segundos en publicar el parche, el tiempo del malware sería el mismo y las consecuencias las mismas porque el malware deriva del parche, igual que ocurrió con sassher o blaster, no recuerdo cual de los dos, que el virus se sacó a partir de la información que aportó el parche.
Tus falsos seis meses son irrelevantes aunque fuesen ciertos.
#11 5000 equipos es una minucia.
Lo dices como si eso fuera un número elevado.
#32 dado que el numero de afectados a nivel mundial se estima en 80.000-90.000 maquinas, pues que quieres que te diga.
#43 No parecen muchas, hay muchos millones de ordenadores con Windows en el mundo.
#11 Uff! Pues yo tengo un portátil que hace más de dos meses que no conecto a internet
¿Se actualizará? ¿O se le meterá el virus conforme lo conecte a la red?
#34 lo suyo es bajarse el parche desde otro ordenador y meterselo a mano, si antes de conectarse a internet (apaga la wifi con boton de hardware, (o desenchufa el router o el cable de red) vete appwiz.cpl agregar o quitar caracteristicas quita https://msdnshared.blob.core.windows.net/media/2016/09/image497.png (pero vamos detras de un router no se te infectara casi seguro al menos que abras un fichero infectado)
#34 Si lo tienes en casa sin ningún equipo más en la LAN sin parchear no deberías de tener ningún problema salvo que te pongas a abrir correos sospechosos. Enciéndelo y actualiza antes de hacer cualquier cosa. Insisto, siempre y cuando no tengas otro equipo vulnerable en la LAN.
#11 Quizá tu amigo es un crack de la cyberseguridad, o quiza en esa empresa de 5000 maquinas no usan un hardware específico, algo antiguo pero que funciona perfectamente, y que solo funciona con un software también específico, que ya no se actualiza y solo funciona con Windows XP. Por poner uno de los muchos ejemplos posibles.
Lo digo por si piensas que en Telefónica o la sanidad inglesa tienen a inútiles como responsables de la seguridad informática. Que alguno habrá, quizá, pero pasaría mucho más a menudo y menos globalmente si no hubiera ahí, al menos, un puñado de buenos profesionales.
#51 hace 2 años o asi que actualizaron todos los xp que tenian a 7 y es una persona que como yo se preocupa en estar al dia de las mierdas estas, no hace falta ser un crack de cyberseguridad, solo tener unos jefes que no te pongan palos a las ruedas para aplicar politicas se seguridad que impidan la propagacion de malware.
#53 solo tener unos jefes que no te pongan palos a las ruedas para aplicar politicas se seguridad que impidan la propagacion de malware
No pides poco tú...
#95 quieras que no este ramsomware va a tener muchos beneficios para los sysadmins, les va a hacer ver a los jefes de muchas empresas la importancia de las actualizaciones de seguridad, asi como el uso de GPOs estrictas bloqueando la apertura de ficheros .js y similares, de evitar que la peña le de a editar a ficheros bajados de internet que puedan contener macros y un largisimo etc.
#97 Ojalá... de todas formas creo que los "palos en las ruedas" más grandes son departamentos de sistemas demasiado pequeños para lo que realmente necesita una empresa según que tamaños. Muchas veces un administrador proporciona una falsa sensación de seguridad porque hecha de 10 a 12 horas porque no dispone de recursos para evitar este tipo de amenazas y los jefes no sueltan más recursos porque no son conscientes del peligro que corren debido a que aun no te has pegado la ostia.
#99 ya, por eso el que haya afectado a telefonica y grandes compañias va a ser muy beneficioso para la seguridad.
#51 Yo solo digo que en la administración pública española se siguen usando applets java.
No digo nada más, no comparo, pero vamos... que el tamaño de una infraestructura o empresa no garantiza nada sobre sus profesionales.
#80 entre Java y la firma electrónica dnie, la administración electrónica española es una p*** m*****
#9 "parches el mismo día que salen"
DOS MESES, que han pasado dos putos meses desde el parche. Quedarse de brazos cruzados esperando a verla venir durante dos meses, es de incompetentes, así de simple.
#9 Déjame corregirte, porque veo que eres de esas personas que trata de dar lecciones con información sesgada.
Las infraestructuras críticas están aisladas de otras redes y tienen acceso restringido, además están gestionadas por personal con la adecuada formación. Las pruebas de validación pueden y deben ser extendidas, además de contar con soporte prioritario del "vendor" de la solución.
En equipos con un vector de acceso tan sencillo como son equipos de usuarios que están conectados a Internet y que un simple email malicioso no filtrado por sus servidores de correo puede provocar la infección, las aplicación de actualizaciones de seguridad catalogadas como Crítica tienen la máxima prioridad en estos casos. En cualquier gran empresa se desarrolla operativa para cualquier sistema y lo frecuente es aplicar en plazo de 7/15 días la actualización, no de 2 meses (que sería más, si no los hubiesen infectado).
Pueden estar tranquilos de que "sólo" ha cifrado ficheros, si se hubiese producido un robo de información podría ser un desastre para la reputación de Telefónica.
#62 Gracias por la aclaración. Pero más o menos es lo que he escrito yo.
Solo que yo lo he dividido en externos, internos y core. Pero bueno, está bien que alguien lo aclare debidamente.
#8 Yo lo que me pregunto es si este tipo de virus es ese que se mete en las máquinas aunque no les haga nada pero se va propagando a otras igualmente. Es decir, yo tengo mi máquina actualizada y no me hace nada, pero... ¿podría meterse igualmente y seguir propagándose a otros?
Mira que he leído unas cuantas noticias desde que ha salido esto y no he visto ninguna que deje claras las cosas (de hecho muchas lían más que ayudar).
Liberad a Skynet.
#56 es que si tardas una hora desde ¡socorro!, lo lógico es que vayas a palmar
Menuda sorpresa.
Vamos a palmar!!
#30 ¡Vámonos!
#37 no sé, al lado está socorro. Podemos ir a ¡socorro!
#52 De Socorro a Palmar, que viaje más chungo
#56 También nos podemos ir de Repente a Kagar como no actualicemos.
Ya han registrado el nuevo dominio C2 con el sinkhole de MalwareTech. Problema solucionado:
#42 Parece que hay dos variantes nuevas, una con killswitch cambiado, y la otra sin killswitch:
https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e
O sea que ahora mismo habría 3 variantes en total: dos con killswitch ya registrados, y una sin killswitch.
#55 El que no tiene killswitch parece que no cifra archivos por estar corrupto. Así que el problema no es tan grave.
ya esta solucionado
¿Alguien me puede explicar qué consecuencias tiene para la gente de a pie? Gracias.
#87 Si tienes un sistema no actualizado, selecciona el tuyo de http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 y actualizalo. Si no lo haces tus ficheros y archivos podrían ser encriptados, (quedando inutilizables hasta que les pagues por desencriptarlos)
#89 pero eso es si abrí el correo con el virus, no? Yo no he abierto nada... Y a nivel de ciudadanía, qué servicios se ven afectados?
#98 El parche es para que el virus no te entre sin que tú hagas nada.
Si abres el correo, y no tienes antivirus (o ignoras el aviso), y no tienes UAC (o le das a aceptar), y no tienes SmartScreen (o le das a aceptar), y ejecutas el virus... la has cagado con o sin parche.
#89 por qué en el listado no hay Windows 7?
#89 Eso si se deja... yo llevo entre ayer y hoy 5 reintentos de instalar la update en Win7 y siempre me da error y revierte la instalación...
#102 Porque el listado es una mierda, tampoco aparece Windows 10.
#89 Si vas a recomendar que la gente se descargue el parche, no pongas la url de un parche para unas pocas versiones concretas, pon la del fallo en general:
https://support.microsoft.com/en-us/help/4013389/title
#87 No se nota, es como la corrupción, te dicen que esta pero no la notas , estas cosas les afectan a otros, tu por si acaso no corras y ponte el cinturón pero sobre todo mucha suerte somos muchos y no nos puede tocar a todos
#100 que no notas la corrupción??? Hombre, yo la tengo muy presente en cada bache en la carretera, en los peajes desorbitados de las autopistas, en el recibo de la luz, en los impuestos, en las colas en los hospitales, en la educación empobrecida, en la prensa cuyas noticias no te puedes creer, en lo difícil que es acceder a un buen puesto de trabajo... Etc etc.
¿No existe en Win sistemas Lite (de verdad)? con servicios/drivers mínimos,minimos. Una versión mantenida a largo termino que permita instalar el SW personalizado sin riesgos de 'romper' nada por ser estable y tener los minimos componentes que necesita..¿?
El otro dia borrando las reglas del firewall detecté que el 'explorador de equipos' deja de funcionar si no hay ciertas reglas definidas (It is a design deficiency in Windows File and Printer Sharing to check for specific rules, instead of actually trying to access the network. ... https://tinywall.pados.hu/faq.php ).
Vaya mierda parches de diseño , por no hablar de los (espero) que antiguos problemas con los dll's y sus conflictos/versiones que tiene este SO.... parece que sea capa sobre capa de apaños para mantener compatibilidades hacia atrás juntos nuevas 'features' que pocos necesitan....no se, desconozco las virgerias que tendrán los Win-Servers pero realmente se me haria dificil confiar cualquier tipo de servicio minimamente importante/critico.
#93 Lo que dices existe, aunque son cosas relativamente nuevas:
- Windows Nano Server: https://en.wikipedia.org/wiki/Windows_Server_2016#Nano_Server
- Windows 10 Pro CBB y Enterprise LTSB: https://en.wikipedia.org/wiki/Windows_10#Feature_updates
Los conflictos de DLLs son cosa de Windows XP y anteriores; a partir de Windows Vista el sistema se encarga de guardar las DLLs y que cada programa "vea" la versión que le corresponde.
A ver si al final se hace el windows medio decente y se le cierran las puertas que va manteniendo abiertas sin abrir de nuevas