Publicado el 04 de agosto del 2020 - Actualizado el 07 de octubre del 2020

RESUMEN: Esta alerta y solicitud se hace a causa de la filtración de exploits (programas que aprovechan vulnerabilidades) aplicables a diferentes versiones de sistemas operativos Windows. Afecta los servicios (tcp/445) SMB/ (tcp/139) NBT y el motor de protección de malware de microsoft (MsMpEng), incluso permitiendo tomar control del computador o servidor que haya sido comprometido

Oficina Asesora de Sistemas – Red de Datos UDNET

Alerta sobre Malware Ransomware

¿Qué es ransomware?

Es un tipo de malware (programa informático malintencionado) que bloquea el acceso a archivos del sistema infectado cifrándolos y pidiendo un rescate a cambio de quitar esa restricción. Básicamente si un usuario es infectado por un ransomware sus archivos quedan secuestrados y sólo hasta que pague una suma de dinero puede tenerlos disponibles de nuevo para su uso.

¿Cómo se propaga o cómo nos infectamos?

Existen diferentes maneras de infección. Unas de ellas son:

A través de archivos (archivos adjuntos en correos electrónicos, videos, programas no fiables).
De manera automática a través de vulnerabilidades que se pueden aprovechar remotamente y sin la intervención directa de los usuarios (vulnerabilidades de tipo Ejecución de código remoto).
¿Cómo es eso del ataque masivo mundial?

 Existe un tipo de ransomware llamado WannaCrypt que se está propagando rápidamente a causa de algunas vulnerabilidades existentes en windows que se pueden aprovechar remotamente.

 Sistemas y versiones afectados

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016.

 Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft System Center Endpoint Protection, Microsoft Security Essentials, Windows Defender for Windows 7, Windows Defender for Windows 8.1, Windows Defender for Windows RT 8.1, Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703, Windows Intune Endpoint Protection

Identificaciones CVE

Windows SMB Remote Code Execution Vulnerability – CVE-2017-0143
Windows SMB Remote Code Execution Vulnerability – CVE-2017-0144
Windows SMB Remote Code Execution Vulnerability – CVE-2017-0145
Windows SMB Remote Code Execution Vulnerability – CVE-2017-0146
Windows SMB Information Disclosure Vulnerability – CVE-2017-0147
Windows SMB Remote Code Execution Vulnerability – CVE-2017-0148
Microsoft Malware Protection Engine Remote Code Execution Vulnerability - CVE-2017-0290

¿Qué debo hacer?

Seguir las recomendaciones de seguridad de este boletín.

Recomendaciones y soluciones para usuarios de equipos:

Fuente: http://www.mintic.gov.co/portal/604/w3-article-51612.html

1. Tenga una copia de respaldo de su información.

2. Haga las actualizaciones de su sistema operativo. Para que estas sean efectivas su software debe ser legal. Consulte con el área de soporte de su facultad para contar con este procedimiento.

3. Evite abrir correos electrónicos con archivos adjuntos sospechosos que aparentemente alerten sobre cobros jurídicos, demandas o similares. Están llegando solicitudes de actualización de datos personales por correo electrónico que por ningún motivo deben ser respondidos, por favor notificarlos a servidores@udistrital.edu.co

4. Si recibe un mensaje de alguna entidad bancaria o ente gubernamental, verifique que el dominio o link de la página web que se encuentre en el mensaje realmente sea el que represente oficialmente a la entidad o persona que se referencie.

5. Nunca comparta información personal ni financiera solicitada a través de correos electrónicos, llamadas telefónicas, mensajes de texto o redes sociales.

6. No abra mensajes ni archivos adjuntos de remitentes desconocidos.

7. Tenga cuidado con los sitios web que visite, desconfíe de los dominios que no conozca.

8. No descargue software de sitios no confiables.

9. No descargue contenido multimedia por redes de intercambio tales como ares.

10. Evite conectar dispositivos extraíbles que no sean confiables.

Recomendaciones y soluciones para administradores de equipos:

Se recomienda no acceder al correo electrónico desde los equipos de la Universidad con sistema operativo Windows hasta que se hagan los pasos 4 y 5 de este documento.
Si se identifica un equipo infectado, debe ser aislado y desconectado ya que el virus está en la capacidad de escanear los equipos que se encuentren en ese segmento de red y de esta forma infectar los demás equipos.
Instalar inmediatamente las actualizaciones de seguridad del boletín MS17-010 de Microsoft según la versión del sistema operativo.
Actualizar el motor de protección contra malware de Microsoft siguiendo los pasos del manual disponible en:
https://support.microsoft.com/es-es/help/2510781/microsoft-malware-protection-engine-deployment-inf…

Validar que la versión del motor de protección contra malware sea igual o superior a Versión 1.1.13704.0 con el manual mencionado en el paso 4, en el apartado "Comprobación de la instalación de la actualización".
Desactivar el servicio SMB hasta que no se apliquen las actualizaciones de seguridad. Tutorial para desactivar SMB. Disponible en:
https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-…

Además, se recomienda revisar las siguientes actualizaciones de seguridad para prevenir ataques con ejecución de código remoto.

Ing. Beatriz Elisa Jaramillo Moreno

Jefe Oficina Asesora de Sistemas.

Ing. Martha Cecilia Valdés Cruz

Jefe Red de Datos UDNET