Apreciados clientes,
Informes en línea indican de un nuevo brote de WannaCry aka. variante de ransomware de WCry. Bleeping Computer informó que la variante 2.0 del malware fue detectado desde el viernes pasado durante una campaña de distribución masiva. El vector de distribución principal de esta campaña no es 100% conocido por el momento. Se cree que Malvertising (Código malicioso dentro de la publicidad en linea), Exploit Kits y correo electrónico de spam – todos podrían ser parte del vector de la infección. Los investigadores también indican que el malware está dirigido a usuarios de múltiples países de todo el mundo (unos 75 países), principalmente en España, Taiwán, Rusia, Turquía y otros.
Sabemos que esta amenaza explota una vulnerabilidad de varios sistemas operativos Microsoft Windows para propagarse. Esta vulnerabilidad fue descubierta el pasado 14 de marzo de 2017 y se detalla en el siguiente boletín de Microsoft: Https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Por lo que una de las principales recomendaciones es mantener nuestros sistemas parchados al día.
Debajo algunas informaciones de interés brindada por Symantec para la detención de la nueva variante:
Symantec Detection Coverage: Ransom.CryptXXX
El Hash para reconocer la amenaza:
MD5 7bf2b57f2a205768755c07f238fb32cc
SHA-256 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
MD5 84c82835a5d21bbcf75a61706d8ab549
SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
IPs Ofensivas:
197.231.221.211:9001
128.31.0.39:9191
149.202.160.69:9001
46.101.166.19:9090
91.121.65.179:9001
Otras acciones de prevención pueden ser accionados mediante:
1- Bloqueo del hash ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa utilizando políticas de control de dispositivos y aplicaciones
2- Aplicación de la política de prevención https://www.symantec.com/connect/articles/preventing-powershell-running-office
Para aquellos clientes que poseen Symantec Endpoint Protección, estamos adjuntando una muestra de política ADC (Application and Device Control) para evitar la creación de extensiones de archivo relacionadas – wncry, wnry, wry, wcryt, wry – y el bloqueo de los hashes anteriores. Para los que no poseen el sistema de seguridad de Endpoint de Symantec pueden crear reglas de bloqueo de aplicaciones utilizando la solución de Endpoint Protection disponible en la empresa.
Referencias e informaciones adicionales:
Support Perspective: W97M.Downloader Battle Plan
Hardening Your Environment Against Ransomware
Special Report: Ransomware and Businesses 2016
Información adicional:
Más información sobre hash:
MD5 84c82835a5d21bbcf75a61706d8ab549
SHA-1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Además, la amenaza se construye con extensión: .WNCRY. Así que puede utilizar ADC (Application and Device Control) para bloquear la creación de archivos como este.
Algunas soluciones que pueden ayudar de manera pro-activa a protegerse contra amenazas avanzadas como las de ransomware:
- Symantec ATP: “Uncover the stealthiest threats that would otherwise evade detection.
- Best detection and accuracy in protecting against advanced persistent threats
- Identify whether your organization is under targeted attacks and automatically search for Indicators-of-Compromise with Dynamic Adversary Intelligence
- Detect and investigate suspicious events via unique sandboxing and payload detonation capability
- Provides in-depth threat visibility across IT environments in one place, without requiring any manual searching
- Instant search for Indicators-of-Compromise and visualize all related events of an attack, e.g. all files used in an attack, email addresses and malicious IP addresses involved
- Click once to remediate any attack artifact everywhere – across Symantec-protected endpoint, network, email, and web traffic
- Quickly isolate any compromised system from the enterprise network
- Imperva SecureSphere File Firewall: “Imperva has announced the release of Imperva SecureSphere File Firewall v12 with real-time deception technology designed to detect ransomware and to prevent it from encrypting enterprise data. The Imperva deception technology adds decoy files to network file shares, luring hackers to strike there first so they can be neutralized before encrypting critical data”
Leer más:
Comments are closed.