El divendres 12 de maig van saltar les primeres alarmes. Al matí, l’empresa de telecomunicació espanyol Telefònica va anunciar que havia sofert un atac informàtic i que havia inutilitzat els seus servidors interns. A mesura que passaven les hores, més empreses públiques i privades anunciaven que també havien estat atacades. Segurament la més sonada va ser la que va patir el servei britànic de salut, que va infectar a tots els ordinadors i deixar sense servei informàtic als centres de salut del Regne Unit. Però amb diferència el país que ha patit més atacs ha estat Rússia.

Una setmana després, continuen apareixent nous casos. I que els objectius hagin estat grans empreses i infraestructures públiques, ha fet que aquest hagi estat un dels casos de seguretat informàtica més sonats, encara que no sigui el que més usuaris hagi afectat (dubtós títol que pertany al virus ‘I love you‘). Però que és exactament el WannaCry? Quines solucions existeixen? Us deixem un repàs de tot el que cal saber sobre el ciberatac.

Funcionament
El Wannacry és un virus informàtic que té dues parts. La primera la podríem anomenar ‘el símptoma’, és a dir, les conseqüències que té per a l’ordinador infectat. El programa es connecta amb el servidor des d’on ha estat llançat i demana una clau d’encriptació, diferent per a cada ordinador. Amb aquesta clau encripta els arxius, els ‘tradueix’, i els torna illegibles per al sistema operatiu. Un cop acaba, a la pantalla apareix un missatge on es facilita un compte de bitcoin i la quantitat a pagar per a desbloquejar l’ordinador. En altres paraules, l’ordinador queda segrestat pel virus i en demana el rescat.

La segona part és la seva propagació. El Wannacry és un ‘worm’, un cuc. Es coneix així als virus autoreplicants (que es multipliquen per ells sols). L’objectiu un cop ‘segrestat’ l’ordinador infectat és propagar-se a d’altres. Per a fer-ho el virus busca els altres ordinadors al seu abast. Aquests són els altres dispositius que formen part de la xarxa informàtica.

Empreses i particulars, acostumen a estar protegides amb un tallafoc que aïlla els ordinadors dels atacs. En el cas de la majoria d’usuaris aquesta funció la fa l’encaminador, que ens aïlla de la resta de la xarxa, o en el cas de les empreses, la intranet, on tots els ordinadors i servidors estan connectats entre si i aïllats de la resta. Un cop un ordinador queda infectat pel Wannacry, aquest s’estén per la resta de la xarxa.

El mètode empleat per a entrar, tot i que encara no se sap segur però és el més probable, és el correu electrònic. El mail amb el virus duu un arxiu amb què el conté, i un títol que enganyi al receptor a descarregar-se’l. Les excuses són variades i imaginatives, des d’un avís del banc, fins a fotografies compromeses d’alguna celebritat. Compte amb els següents tipus d’arxiu: .js, .vbs, .docm, .hta, .exe, .cmd, .scr i .bat.

Descarregat, l’arxiu es replica només als ordinadors amb Windows, ja que s’aprofita de l’errada d’aquest sistema operatiu ‘ExternalBlue exploit‘, detectada per la NSA el març d’aquest any.

Detectar, eliminar i prevenir
La detecció del virus és simple, ens apareixerà la pantalla demanant el rescat de forma immediata. Si s’apaga i es torna a encendre l’ordinador aquest no arrancarà i ens apareixerà la BIOS avisant que l’ordinador està infectat.

Un cop se sap que l’ordinador està infectat, existeixen dues opcions. La primera, la tradicional, formatejar l’ordinador, és a dir, esborrar-ho tot i començar des de zero. No és un procés gaire laboriós però suposa una taula rasa dels arxius guardats, excepte que s’hagin guardat en un disc dur extern. És com comprar un ordinador nou. L’altra opció és cedir al xantatge i pagar la quantitat demanada.

En les últimes hores ha sortit una eina per a enganyar el virus. Només funciona en Windows XP i versions anteriors i si l’ordinador no s’ha reiniciat o apagat un cop s’hagi infectat. El programa es diu Wanakiwi, us deixem el link. El programa fa creure al virus que s’ha pagat al rescat, però no l’elimina del sistema.

This tool only works on Windows XP, and the computer must not have been rebooted after it was infected. This obviously makes the tool useless for most people who were infected, as the worm spreading the infection automatically didn’t even target Windows XP (though XP users can still get WannaCry from email attachments etc).

Edit: It seems that a new tool has been released, which should work on Windows 7 and 2003 and likely other versions as well (but still won’t work if the system has been restarted).

Ara bé, la propagació del virus ha pogut ser alentida a temps. Un expert de seguretat britànic, de 22 anys, que es fa dir MalwareTech, va descobrir que, una vegada el virus ha entrat a un ordinador, abans de començar a encriptar els arxius, el primer que fa és intentar connectar-se a un domini d’internet. En donar d’alta aquest domini atura la divulgació del virus, per això se l’anomena ‘Kill Switch’, un ‘botó d’emergència’ que permet de manera atípica aturar el funcionament del virus, NO el destrueix. Els experts creuen que no és un error de programació, sinó que aquesta facilitat de parar el virus estava programada expressament en cas de necessitar aturar-lo per algun motiu. Previsiblement una nova versió del virus, que segur que sortirà, solucionaria aquest problema per al virus. Si voleu l’explicació del seu descobridor, MalwareTech, us deixem l’enllaç (en anglès).

Però els ordinadors no estan completament exposats al virus. Les principals cases de productes d’antivirus han actualitzat els seus programes per detectar-lo. I des del CERT de Madrid, el centre de resposta espanyol per incidents de seguretat informàtica, que depèn del CNI, ha publicat una vacuna NoMoreCry Tool, que evita, si l’ordinador no ha estat infectat, que s’infecti. Podeu trobar aquí l’eina.

Windows, per la seva part, ha actualitzat el seu sistema i amb la darrera versió té solucionada l’errada de seguretat que permetia la difusió del virus copiant-se a altres ordinadors. Fins i tot ha tret una actualització especial per a XP.

Vegeu l’explicació en vídeo ací:

[VilaWeb no és com els altres. Fer un diari compromès i de qualitat té un cost alt i només amb el vostre suport econòmic podrem continuar creixent. Cliqueu aquí.]