[lacnog] Alerta Ransomware Wcrypt

[Rodrigo Peña]

Copio e-mail de alerta que envié al NOG Chile hace un rato, pues es de
utilidad para todos.

--

Estimados,

Como ya sabrán, Telefónica, gobiernos y muchas empresas a nivel
mundial están siendo infectadas masivamente por el Ransomware Wcrypt.

La diferencia de Wcrypt con otros ransom es que contempla los vectores
de entrada más recientes divulgados por ShadowBrokers, grupo de
hackers que divulgaron exploits descubiertos y utilizados por la NSA.

Como medidas de urgencia recomiendo (en orden de urgencia):
- Bloquear el puerto 445 en borde de la red: Prevenir una entrada
automática del ransom desde afuera de la red.
- Bloquear el puerto 445 en tráfico interno de la red: Lo anterior
interrumpirá el sistema de carpetas compartidas de windows (SMB).
- Parchar todos los equipos windows que tengan actualizaciones
disponibles: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Cabe destacar que Windows XP *NO* tiene un parche divulgado por
Microsoft contra esta vulnerabilidad.

Saludos,
Rodrigo Peña
GamerLive Chile
--