Deteniendo cifrado de Wannacry aunque estés infectado

editado mayo 2017 en Noticias

Deteniendo cifrado de wannacry mediante reglas de protección de acceso con VSE

Etiquetado:

Comentarios

  • editado mayo 2017

    Reglas de Protección de acceso para McAfee VSE (funcionan en cualquier plataforma antimalware)

    • Se realiza análisis dinámico con el objetivo de observar comportamientos que permitan diseñar reglas de bloqueo que sean eficaces frente a la ejecución del malware.

    • Se identifica que la secuencia de ejecución del malware es vulnerable a interrupciones, lo que permite detener la fase de cifrado (esto se logra imposibilitando la creación de archivos con las extensiones utilizadas por el malware)

    • El malware utiliza dos tipos diferentes de extensiones para cifrar .wncry - .wncryt (las cuales puede utilizar si detecta que una de estas fue bloqueada por cualquier herramienta de protección.

    notas:
    • Aún no hemos determinado si el malware puede utilizar extensiones aleatoreas.
    • El malware falla a la hora de intentar cambiar de extensión.

    • Debido al "posible fallo" que tuvieron los desarrolladores del malware, hemos podido diseñar unas reglas de protección de acceso, que sí bien, no detienen la infección; sí interrumpen el cifrado mediante el bloqueo de cualquier aplicación que intente crear archivos con el siguiente formato: ejemplo.txt.wncry ó ejemplo.txt.wncryt .

  • Gracias por el aporte @4RP14, es una buena práctica evitar que los archivos se infecten, pero en este caso se recomienda también lo siguiente para mitigar la propagación el wannacry:

  • editado mayo 2017

    Así DragroN, es el momento de que las empresas comiencen a enfrentar estas amenazas de manera preventiva, y no reactiva.

Accede o Regístrate para comentar.