A mediados de mayo se registró uno de los ataques más masivos a escala mundial. Hablamos de 74 países que se han vuelto locos y miles de ordenadores comprometidos, incluidos hogares, empresas, administraciones públicas y centros sanitarios. Todos infectados con el infame ransomware Quiero llorar (también llamado Wanna Decryptor 2.0, WCry 2, WannaCry 2 y Wanna Decryptor 2).
Pero, ¿qué hace exactamente y cómo protegernos? Vamos a verlo
Wanna Cry: ¿Qué es?
WannaCry es un ransomware que infecta sistemas ventanas (tanto de escritorio como servidor) a través de múltiples ataques, incluido el phishing, pero el más peligroso es la infección a través de uno vulnerabilidad conocida (que Microsoft cerró hace unos meses gracias a las actualizaciones automáticas).
Esa vulnerabilidad está en el protocolo. PDR Windows (también conocido como Escritorio remoto) que PYME (Server Message Block) y tiene la peculiaridad casi única: es completamente invisible para el usuario final (no requiere ninguna acción por parte del usuario).
Una vez que su PC está infectada, suceden dos cosas:
- inicia un escaneo de la red a la que está conectada la PC infectada para replicarse en las otras PC
- Haz uno cifrado de todos los archivos en el disco y solicita (a través de una máscara) un rescate en BitCoin dentro de un tiempo determinado para obtener la clave de desbloqueo y restaurar los archivos. Una vez pasado el tiempo establecido, la cantidad aumenta drásticamente
Esta es una de las máscaras (variantes) que aparecerán en pantalla:
El rescate está en BitCoin, es decir, a través de una moneda virtual imposible de rastrear y la ventana también explica cómo comprarlo convirtiendo dinero real. Lamentablemente, muchos usuarios se han visto obligados a pagar mientras que otros han perdido todos sus datos.
Por lo tanto, es evidente que WannaCry es un «demonio» de Internet que destruye cualquier cosa a menos que pagues un rescate. El problema es enorme: pensemos en el caso del Reino Unido, con varios hospitales (NHS) atacados por ransomware y salas enteras bloqueadas durante días. Grandes corporaciones, incluidas FedEx, Renault, Deutsche Bahn, MegaFon, Sberbank, Telefónica y otras, también han sido atacadas con sectores completamente bloqueados.
¿Cómo podemos protegernos?
No hace falta decir que la mejor manera de protegerse es mantener su PC y servidor con Windows actualizados habilitando las actualizaciones automáticas.
Para aquellos que tienen un Servidor Microsoft Windows 2016 Y Servidor Microsoft Windows 2012 (todas las versiones) recomendamos dos operaciones más que elevan el nivel de seguridad servidor:
- Cambio de puerto RDP
- Firewall protege el puerto RDP
Para la primera operación, podemos actuar directamente desde el registro:
- Haga clic simultáneamente en el botón
+ r , que abrirá la ventana «Ejecutar». Escriba el comando regeditar y enviar:
- Se abrirá el Editor del Registro de Windows. Ahora naveguemos por el árbol de la derecha buscando la clave de registro HKEY_LOCAL_MACHINE \ Sistema \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP-Tcp \ PortNumber y editarlo en modo Decimal . El potra por defecto es 3389, vamos a cambiarlo por otro no estándar y no usado por otros servicios, por ejemplo con 43389
- Reiniciamos el servidor (ATENCIÓN: antes de proceder con el reinicio, asegúrese de que el nuevo puerto está abierto en el firewall)
Después del reinicio, el servicio RDP tendrá 43389 como puerto (como en el ejemplo).
Al terminar protegemos el puerto con el firewall de windows habilitando solo las direcciones IP seguras desde las que nos conectamos.
kinobg
Latest posts by kinobg (see all)
- 7 extensiones de Chrome perfectas para bloguear - 16 junio, 2022
- Agregar videos en las páginas de destino: cómo y por qué hacerlo - 16 junio, 2022
- ¿Hosting con CMS ya instalado? ¡Fácil aplicación! - 16 junio, 2022