eldiario.es

Menú

Cultura & tecnología

La hucha de WannaCry sigue creciendo

Un periodista programa un bot que cuenta lo que van recibiendo los cibersecuestradores

Los ordenadores que han sido bloqueados son prácticamente imposibles de descifrar, aunque en algunos casos los expertos señalan una opción

- PUBLICIDAD -
Una decena de empresas surcoreanas están afectadas por el ciberataque global

La hucha del wannacry sigue creciendo EFE

El ciberataque del pasado viernes sembró el caos en hospitales, algún ministerio ruso y un número indeterminado de empresas e instituciones incluyendo Fed-Ex y Telefónica, antes de ser detenido por un joven especialista británico y la compra de un dominio. Se trata de un mecanismo de seguridad típico que ponen los propios atacantes para poder detener la infección antes de que se vuelva en su contra.

Una vez instalado en un ordenador, el virus empieza su proceso de activación consultando esa URL. Si el dominio no ha sido comprado y la URL no existe, el virus despierta y empieza a cifrar archivos para pedir el rescate. Si el dominio ha sido comprado y la búsqueda no da un error, entonces el virus se queda latente, sin propagarse ni actuar. En el proceso, sin embargo, el virus ha cifrado archivos en más de 230.000 terminales. Y muchas están pagando.

Para llevar la cuenta de lo que pagan, el periodista y programador de Quartz Keith Collins ha diseñado un bot que cuenta lo que reciben sus tres monederos de bitcoin y lo reporta en Twitter cada dos horas:

Imposible desencriptar los archivos (de momento)

Muchas de las empresas afectadas estaban preparadas para este tipo de ataque, principalmente tener una copia de seguridad actualizada del contenido de todos sus equipos. Para las que que no hacían copias frecuentemente y han perdido el acceso a sus valiosos documentos, solo queda una opción y es pagar.

En los últimos días, muchos han aprovechado el incidente para patrocinar herramientas y servicios de recuperación de datos. Ninguna de estas herramientas sirven para recuperar información cifrada. Aunque podamos acceder a nuestros archivos usando un Live CD, todos esos documentos estarán tan cifrados como al principio.

Los especialistas señalan una posibilidad remota para aquellos documentos o archivos que no estuvieran en las carpetas de Escritorio, Mis Documentos o cualquier parte del disco duro extraíble del ordenador en el momento de la infección. Todo lo que estuviera allí ha sido modificado por el proceso mismo de cifrado y es irrecuperable sin la clave. Y, de momento, para tener la clave hace falta pagar.

Los documentos que estuvieran alojados en otras partes del sistema podrían ser recuperados con un disco de recuperación de datos y archivos eliminados, aprovechando una pequeña debilidad del malware. Estos archivos podrían haber sido copiados sin cifrar en un directorio temporal, antes de ser eliminados. Las probabilidades de recuperar esos archivos varía en cada equipo, porque tiene que ver con los ciclos de escritura y eliminación del propio sistema.

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha