P
PosteameloMuseo de Posts de Taringa!
Explorar Archivo
InicioHazlo Tu MismoInstale Wannacry Ransomware y te lo cuento

Instale Wannacry Ransomware y te lo cuento

Hazlo Tu Mismo6/18/2017
#malware#virus#windows 7#virtualbox#deep freeze#ransomware#Antiransomv3#malwarebytes antiransomware#paragon extfs#wannacry ransomware
Bienvenido al Post...

DISCLAIMER


Antes de comenzar con el post, hacemos una aclaración IMPORTANTE, no nos hacemos responsables de los daños que puedas causar a tu propia computadora o pcs ajenas, tampoco de los daños a la información contenida en las mismas, esto después de haber leído este post( en el momento en que te empiece a llegar la creatividad y las ideas para perjudicar a los demás), el jugar con cualquier tipo malware es peligroso, y es más peligroso jugar con el malware utilizado para el ciberataque sucedido el pasado mes de mayo del presente año 2017.

El contenido del presente se hace con fines didácticos y educativos.

Por favor, lee el post con mucha atencion y cuidado

Una vez aclarados los puntos anteriores, comencemos con el post…

En el post se hará referencia a wanna cry con la abreviatura WC, es decir en el post:
wannacry=WC,
otras abreviaciones que se usaran:
windows=win, deepfreeze=DF, ransomware= RM.

El malware se instalo en una maquina virtual creada en el software virtualbox, esto para aislar el virus y evitar posibles daños a otras computadoras incluyendo la pc anfitrión sobre la cual se ejecutaba virtualbox.

El sistema operativo que se instaló en la máquina virtual fue windows 7 ultimate.



Primero comenzamos buscando el archivo ejecutable del malware en internet, se tuvo un resultado de la búsqueda como este:



Al ingresar a uno de los resultados de la búsqueda, se mostro este mensaje:



Como se ve en el mensaje, se menciona que este malware, es considerado como una ciber-arma, debido a los daños que causo el pasado mes de mayo.

También se encontró un texto, como el que se muestra a continuación:




En el texto se menciona que este archivo no debe descargarse, ya que el archivo del virus encripta los archivos del equipo donde se ejecuta, una definicion sencilla de encriptacion de archivos
archivos encriptados por ransomware=archivos dañados para siempre(no los volveras a ver nunca!!! ).

Después de buscar varios archivos y ejecutarlos, se hallo el archivo que ejecuto el virus correctamente.

Antes de ejecutar el malware, se instaló el software deepfreeze, esto para evitar dañar la maquina virtual y sus archivos, cabe destacar que antes de instalar DF se coloco una serie de archivos de distinto tipo en el HD(hard disk) de la máquina virtual, para efectuar la prueba.



El archivo del virus , tiene un peso de poco más de 3 megabytes:



Antes de ejecutar el ransomware, se desactivo la red de la maquina virtual, para evitar infecciones a equipos que estén en la misma red que la maquina virtual, esto es similar a poner un animal salvaje dentro de una jaula, para prevenir que cause daños(encerrarlo), se puede decir que estamos encerrando al malware y aislando su acción destructiva solo para la maquina virtual.




Comprobamos que efectivamente, la red esta desactivada, después del paso anterior (siempre hay que ser precavido):




Al ejecutar el archivo de WC, sucedió lo siguiente:




Dentro de la carpeta, donde se encontraba WC, se generaron los siguientes archivos:




Entonces se abrió el archivo @Please_Read_Me @.txt, el cual menciona que los archivos del equipo se han encriptado y que se tendrá que pagar un monto económico (en dinero Bitcoin), para poder desencriptarlos.




Se verifica el estado de los archivos del equipo:




Se observo que el virus , no encripta los archivos ejecutables, se deduce que no los encripta debido a que podría dañar windows y si win se daña, no se podría usar la pc y si no se puede usar la pc ya no habría manera de contactar con los malos(los creadores del malware) para realizar las operaciones para el supuesto rescate de los archivos.

Al tratar de abrir los archivos se obtiene:




Esto porque los archivos ya están cifrados, al cifrar los archivos el virus les coloca una extensión con el texto "WNCRY".

Una vez cifrados (encriptados) los archivos ya no pueden abrirse.

Al abrir con bloc de notas, uno de los archivos cifrados:




Como se puede ver WC, pone su marca al archivo.

Antes de ejecutar WC, se tomo una captura de los archivos antes de ser encriptados (cifrados):




Unos minutos después Se mostro la siguiente pantalla:




Y bueno, en la imagen de abajo se muestra una toma del monitor del equipo anfitrión, donde se ejecuta la maquina virtual infectada por WC, demostrando que nosotros hicimos la prueba con el malware.




Comenzamos a navegar por la interfaz del software WC:

Lo primero que se noto es que se puede elegir el idioma en el cual se mostraran los textos de este malware:




Esto indica que desde un inicio el objetivo del creador o creadores del malware, era un ataque a nivel mundial.

Por ejemplo, al elegir el idioma alemán (german), el texto cambio a ese idioma:




Se trató de desencriptar los archivos, dando clic sobre el botón "Decrypt"(desencriptar):




Después de dar clic sobre el botón "Decrypt"(desencriptar), se muestra una nueva ventana en la cual se dio clic sobre el botón "Start"(iniciar), enseguida de este clic se muestra un mensaje que dice que para desencriptar los archivos, se necesita realizar el pago.

Al dar clic sobre el botón "Check Payment" (verificar pago), se muestra lo siguiente:




Como se ve en la imagen anterior se menciona que el pago no se ha realizado, o no se ha confirmado el pago, también se menciona un horario para verificar si los archivos ya pueden desencriptarse (recuperarse) después de realizar el pago.

Ojo: No se debe/debió realizar ningún pago, hay que recordar que los creadores de este malware son estafadores.


Al verificar el escritorio del sistema (se minimiza la ventana de WC), se vio lo siguiente:




El virus cambia el fondo de pantalla, por un fondo que contiene un texto con las instrucciones para ejecutar la pantalla que da los pasos para la desencriptación de los archivos y la cual se mostro anteriormente.

Posibles medidas a tomar frente al ransomware


Uso de partición Linux

Antes de instalar el virus , se creó una partición de tipo ext4, esto para lo que se explicara a continuación:




La partición fue creada usando el software partition magic.

Previamente a la instalación del virus , también se instaló el software: ParagonExtFs que servirá para leer y escribir en la partición ext4, este software es comercial y se aprovecha 1 de los 10 días de prueba de la aplicación, para la realización del presente post.




En esa partición se coloco un conjunto de archivos:




Lo que se pretende demostrar es que el malware, no podría acceder a la partición ext4(tipo de partición usada en sistemas linux) mientras esta no esté montada, windows no puede leer ni escribir en particiones ext4, si se requiere escribir/leer en ext4 bajo windows, se requiere software adicional.

Se monto la partición creada, esta operacion con el software ParagonExtFS, el modo en que se monto la unidad fue solo lectura (read only), esto para verificar que los archivos colocados en esa partición están intactos después de la ejecución del malware y evitar que al montar la unidad el virus cifre los archivos.




Como se ve en la imagen siguiente, los archivos están intactos aun después de ejecutar el ransomware:




El virus no puede acceder a la partición debido a que win, no puede leer ni escribir en las particiones de tipo ext4, ext2, ext3, windows no puede escribir/leer en este tipo de particiones, a excepción que se cuente con software como ParagonExtFS o alguna aplicación similar.

Al montar la unidad con software especializado, se verifica que los archivos están intactos, se monta la partición en modo solo lectura, para evitar que el malware encripte los archivos.

Ahora montaremos la unidad en modo lectura/escritura(no solo lectura), y demostraremos como WC, cifra los archivos:

Primero se desmonta la unidad:




Después se monta la unidad en modo normal (modo lectura/escritura):




Después de montar la unidad con los parámetros anteriores, esto fue lo que paso:



Adiós a los mp3 y demás archivos…




Es por eso que usando este método, se debe montar y desmontar la unidad, cada vez que se escriba uno o varios archivos, es decir al guardar los archivos se debe montar la partición, y al terminar de guardar se debe desmontar la partición.

El método seria, montar la unidad ext4, copiar los archivos (archivos con los que se trabajaría en un día en particular), a la partición win desde la partición linux(ext4), y al terminar desmontar la unidad ext4 que es la que contiene la mayor parte de los archivos del usuario y comenzar el dia laboral.

Importante: Antes de hacer el paso anterior, debemos verificar si estamos infectados, por algún Ransomware.

Cuando un ransomware, ha infectado un equipo notifica de inmediato al usuario (ya que la gente que creó el virus , necesita rápido su pago xD), cuando el usuario nota esto debe evitar montar la partición ext4 y proceder a buscar algún método de desinfección (formateo, actualización de antivirus, cambio de antivirus, uso de software reboot and restore como deepfreeze etc).

Si en algún momento ocurriese algún tipo de infección por ransomware, este afectaría a los archivos que están solo en la partición win, la partición linux(ext4) quedaría intacta debido a que esta desmontada, y esto reduce el daño que puede ocasionar el RM, ya que el daño seria a los archivos que se copiaron a la partición de win y son solo unos cuantos.


Al terminar de trabajar con nuestros archivos, tendremos que montar la partición ext4, y guardar nuestros archivos, pero antes de eso tendremos que verificar que no estemos infectados.

Para el ejemplo se usó el software ParagonExtFS que es comercial( se aprovecha su versión trial), aunque puede sustituirse por opciones como Ext2FSD que es software libre, además de que en lugar de usar una partición ext4, pueden usarse también particiones ext2 y ext3.

Aunque no es un método que controle al 100% la infección, podemos decir que el daño a los archivos se reduce en un 90%.

Uso del software AntiransomV3

Primero se realizo la búsqueda en internet y se descargo el software:



Después se ejecuta como administrador el archivo: "setup.exe”:



Después de la ejecución del archivo exe, se muestra la pantalla de instalación de la aplicación:



Después de presiona el botón "Install"(instalar), y se muestra lo siguiente:



Se muestra un mensaje que menciona que la instalación puede tardar más de 5 minutos y se pide paciencia, después de dar clic al botón aceptar, la instalación comienza… paciencia modo encendido Antiransomv3, esperemos un poco… al terminar la instalación se verá la siguiente ventana:



En la ventana se menciona que se ha terminado la instalación y también se menciona que no debe borrarse la carpeta de instalación.

Entonces al revisar el administrador de tareas, se encontró que ya se encuentran corriendo 2 procesos con nombres un tanto extraños, estos procesos son del software antiransomv3:



A continuación realizaremos la prueba, ejecutando Wannacry y viendo que es lo que sucede, recordemos que antiransomv3 se encuentra corriendo en el sistema:



Al ejecutarse y revisar los archivos…



Parece que no ha cifrado los archivos, pero aun así, antiransomv3 no ha dado ninguna alerta.

Revisamos el administrador de tareas y vemos que el proceso de WC, no está corriendo.




Una vez más ejecutaremos WC y veremos que sucede…



Al intentar buscar el ejecutable de WC, notamos que ha desaparecido!!!, al parecer AntiransomV3, lo ha eliminado.

Atención: Para que el software trabaje correctamente es importante, descargar la versión adecuada para nuestro sistema operativo, en la página de descargas de la aplicación, como se vio en la imagen que muestra la pagina de descargas, existen versiones de la aplicación para win 7, win 10 y win xp.


Realizamos una segunda prueba, para verificar si WC también es eliminado, en la prueba sucedió lo siguiente:

1: El proceso de WannaCry no se ejecutó en memoria, esto se verifico en el administrador de tareas.

2: Al parecer Antiransomware v3, daño el archivo exe de WC, porque ya no pudo ejecutarse, como se ve en las imágenes de abajo:



Uso del software MalwareBytes Antiransomware Free

Se descarga de internet de esta aplicación:



Se procede a realizar la instalación del software:



Si la instalación fue correcta, se mostrara la siguiente ventana:




Además en el tray del sistema se mostrara el icono:



Procedemos ahora a ejecutar WC, para ver qué es lo que sucede:



Obtenemos un mensaje de que se ha detectado un ransomware y el este archivo ha sido movido a cuarentena.

Cabe destacar que esta versión libre de malwarebytes Antiransomware fue lanzada en enero de 2016, esto antes del ciber ataque y aun siendo libre funciona para detener el accionar de WC.

Después de dar clic sobre el botón de "Close"(cerrar), se muestra lo siguiente:



El mensaje menciona que el Antiransomware ha removido un hilo de un proceso de ransomware y que se debe reiniciar el equipo, para completar el proceso de eliminación del malware.

Antes de reiniciar el equipo, revisamos el apartado de cuarentena del software y se mostro lo siguiente:



También se reviso la integridad de los archivos y estos no se cifraron:



Después se procedió al reinicio del sistema y el malware ya había sido eliminado.

Una recomendación importante a considerar, frente a ataques de ransomware es realizar un respaldo periódico(cada cierto tiempo), de nuestra información en un medio de almacenamiento externo(disco duro, memoria usb, cinta magnética etc), así, si por alguna razón la información se perdiese se tiene ese respaldo.

También es adecuado contar con todas las actualizaciones de seguridad de nuestro respectivo sistema operativo, así como tener un buen antivirus instalado y actualizado, además de algún software antiransomware.

El objetivo del post tiene fines educativos y didácticos(no destructivos), las ideas presentadas tienen como fin, que incrementes más tu conocimiento y abras un poco la mente, experimentando y aplicando el conocimiento es como se consigue aprender más y además se consigue experiencia.

__________________________________________________________
Bueno hasta aquí con este post déjenos sus comentarios...
Si te sirvió o gusto este post regálanos un like en nuestro facebook:
Pagina FB


Puedes ver algunos de nuestros desarrollos como programadores en Nuestros Programas ,
coméntanos, si te gusto el post regálanos un like, podemos ayudarte en cuestiones técnicas de programación y soluciones en TI Un Saludo a Todos, Gracias por su Atención.


Visita nuestros posts Anteriores:







=========>
Descargas Relacionadas al Post

Descarga AntiRansomV3

Descarga Malwarebytes AntiRansomware Beta FREE
Datos archivados del Taringa! original
529puntos
805visitas
0comentarios
Actividad nueva en Posteamelo
0puntos
4visitas
0comentarios
Dar puntos:

Dejá tu comentario

0/2000

Autor del Post

u
userrsb🇦🇷
Usuario
Puntos0
Posts2
Ver perfil →
PosteameloArchivo Histórico de Taringa! (2004-2017). Preservando la inteligencia colectiva de la internet hispanohablante.

LEGAL

CONTACTO

18 de Septiembre 455, Casilla 52

Chillán, Región de Ñuble, Chile

Solo correo postal

© 2026 Posteamelo.com. No afiliado con Taringa! ni sus sucesores.

Contenido preservado con fines históricos y culturales.