McAfee conoce una nueva variante de ransomware que se ha detectado en entornos corporativos. Nombre de la amenaza:
Ransom-WannaCry (también conocida como
WCry,
WanaCrypt,
WannaCrypty WanaCrypt0r).
Lea aquí McAfee observaciones y el análisis:
https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/
Lea aquí el asesoramiento oficial de McAfee amenazas:
KB91863 -Asesor de amenazas: Ransom-WannaCry.
Consulte también la información de este Resumen técnico:
https://www.mcafee.com/us/resources/solution-briefs/sb-how-to-protect-against-ransomware.pdf
Número mínimo de archivos DAT para la cobertura:
- Endpoint Security (ENS) 2978 o posterior *
- VirusScan Enterprise (VSE) 8527 o posterior *
* Protección de contenido definida por McAfee frente a las variantes conocidas.
Como práctica recomendada, configure las tareas de actualización del repositorio con un intervalo de actualización mínimo. Esta práctica garantiza que el contenido nuevo se aplique cuando McAfee lo libere.
Este artículo se actualiza a medida que y cuando la información adicional está disponible. Siga monitor este artículo para obtener actualizaciones.
Temas de este artículo
Síntomas de sistemas infectados
Reglas de protección de acceso de VSE
Reglas de protección de acceso de ENS
ENS Protección adaptable frente a amenazas – Real Protect y Contención dinámica de aplicaciones
Reglas de Contención dinámica de aplicaciones de ENS
Cobertura de Advanced Threat Defense para ransomware de WannaCry
McAfee cobertura de NSP para ransomware WannaCry
Preguntas frecuentes
Actualizaciones recientes de este artículo
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
| Fecha |
Actualización |
| 22 de septiembre de 2020 |
Se ha agregado una nueva categoría de Protección adaptable frente a amenazas de Endpoint Security. |
| 12 de marzo de 2020 |
Se ha sustituido "DAT diario" por "DAT estándar". |
| 9 de septiembre de 2019 |
El vínculo correspondiente a la Ransom: el aviso de amenaza de WannaCry se ha cambiado a KB91863. |
| 20 de noviembre de 2017 |
Se han eliminado los datos adjuntos del archivo extra. DAT y las referencias al archivo extra. DAT. |
Esta amenaza muestra los siguientes síntomas en los sistemas infectados:
- Los archivos se cifran con la .wnry, .wcry, .wncry, .wcryt, y .wncryt extensiones. Los usuarios ven una pantalla con un mensaje Ransom.
- Los usuarios ven el siguiente Ransom-WannaCry Desktop Background:
- Al reiniciar, los sistemas afectados tienen un error de pantalla azul y no se pueden iniciar.
- Cifrado observado en host locales y abrir SMB recursos compartidos. IMPORTANTE: Instale inmediatamente el parche de Microsoft crítico MS17-010 para evitar que se cifren los recursos compartidos de SMB: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Volver al principio
Medidas proactivas de protección de acceso de Endpoint Security (ENS) y VirusScan Enterprise (VSE)
| NOTA: Las reglas de protección de acceso de ENS y VSE impiden la creación del .WNRY File. Esta regla impide la rutina de cifrado, que es donde se ven los archivos cifrados que contienen uno o varios .WNCRYT, .WNCRY, o bien .WCRY prórroga. Implementando el bloqueo .WNRY, otros bloques no son necesarios para los tipos de archivos cifrados. |
Utilice las reglas de protección de acceso de VSE:
Rule1:
Tipo de regla: Regla de bloqueo de registro
Proceso que incluir: *
Clave de registro o valor que proteger: HKLM - /Software/WanaCrypt0r
Clave de registro o valor p Protect: Importantes
Acciones de archivo que evitar: Cree clave o valor
Rule2:
Tipo de regla: Regla de bloqueo de archivos/carpetas
Proceso que incluir: *
Nombre de archivo o carpeta que bloquear: *.wnry
Acciones de archivo que evitar: Nuevos archivos creados
Volver al principio
Usar reglas de protección de acceso de ENS:
Rule1:
Executable1:
Incorporación Entre
Nombre de archivo o ruta: *
SubRule1:
Tipo de subregla: Clave de registro
Operador Crear
Target1:
Incorporación Entre
Archivo, nombre de carpeta o ruta de archivo: *\Software\WanaCrypt0r
SubRule2:
Tipo de subregla: Programa
Operador Crear
Target1:
Incorporación Entre
Archivo, nombre de carpeta o ruta de archivo: *.wnry
Volver al principio
Endpoint Security (ENS) con Protección adaptable frente a amenazas (ATP): Real Protect y Contención dinámica de aplicaciones (DAC)
ENS ATP Real Protect, con DAC, proporciona protección de próxima generación frente a exploits desconocidas.
ENS ATP proporciona una protección completa frente a todas las variantes conocidas del exploit de WannaCry. McAfee recomienda la siguiente configuración de ATP para la detección de variantes de WannaCry desconocidas.
- Configure la siguiente configuración en la Directiva Protección adaptable frente a amenazas-opciones:
Asignación de regla = Seguridad (la configuración predeterminada es equilibrada)
- Configure las siguientes reglas en la Directiva Protección adaptable frente a amenazas – Contención dinámica de aplicaciones:
Contención dinámica de aplicaciones: reglas de contención
Ve KB87843 -Lista de prácticas recomendadas para Endpoint Security reglas de Contención dinámica de aplicaciones y establezca las reglas de DAC recomendadas en Bloquear según lo indicado.
Volver al principio
DAC DE ENS reglas activadas por Ransom-WannaCry Variants
En esta sección se proporciona información adicional sobre las reglas de DAC observadas activadas por las variantes conocidas de WannaCry. En el caso de los procesos que otras capas de la pila de seguridad ENS no detecten, es posible que no sea necesaria la activación de reglas adicional para contener los procesos de forma eficaz. Ve KB87843 -Prácticas recomendadas para ENS Contención dinámica de aplicaciones rues y establecer las reglas de DAC recomendadas para que se bloqueen como se recomienda.
Rule1:
Nombre de la regla: Ejecución de cualquier proceso secundario
Rule2:
Nombre de la regla: Acceso a ubicaciones de cookie de usuario
Rule3:
Nombre de la regla: Creación de archivos con la extensión. html,. jpg o. bmp
Rule4:
Nombre de la regla: Creación de archivos con la extensión. exe
Rule5:
Nombre de la regla: Modificación de las carpetas de datos de los usuarios
Rule6:
Nombre de la regla: Modificación de las ubicaciones del registro de inicio
Rule7:
Nombre de la regla: Modificación de archivos críticos de Windows y ubicaciones de registro
Rule8:
Nombre de la regla: Lectura o modificación de archivos en cualquier ubicación de la red
Rule9:
Nombre de la regla: Modificación de archivos con la extensión. bat
Rule10:
Nombre de la regla: Modificación de archivos con la extensión. vbs
Rule11:
Nombre de la regla: Creación de archivos con la extensión. bat
Rule12:
Nombre de la regla: Lectura de archivos que suelen ser objetivo de malware de ransomware
Rule13:
Nombre de la regla: Creación de archivos en cualquier ubicación de la red
Rule14:
Nombre de la regla: Escritura en archivos que suelen ser objetivo de ransomware de clase malware
Rule15:
Nombre de la regla: Modificación del bit de atributo oculto
Volver al principio
Advanced Threat Defense (ATD) paquete de actualización de contenido para WannaCry disponible en las siguientes compilaciones o posteriores:
3.6.x – 3.6.2.103.61987 o posterior
3.8.x Paquete 3.8.2.170207.59307 o posterior
3.10.x – 3.10.2.170712.61985 o posterior
4.0 – Detección incluida en la instalación básica
McAfee cobertura de NSP para WannaCry ransomware:
Firmas existentes:
- 0x43c0b800-NETBIOS-SS: Windows de SMBv1 idéntica vulnerabilidad de confusión en MID y FID (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilidad de ejecución remota de código (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilidad de ejecución remota de código (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilidad de escritura fuera de enlace (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: vulnerabilidad de divulgación de información en Windows SMBv1 (CVE-2017-0147)
El equipo de investigación de NSP ha revisado la información correspondiente a CVE-2017-0148 y ha creado un UDS. Los UDS están disponibles en
KB55447 -Versiones de firma definidas por el usuario de Network Security Platform REGISTRADAs. Este artículo solo está disponible para los usuarios registrados. Inicie sesión en
https://support.mcafee.com y acceda al artículo.
Volver al principio
Preguntas frecuentes sobre Ransom-WannaCry
¿Tiene McAfee Application Control (MAC) en modo bloquear le ayuda a evitar la infección?
Sí, ya que MAC bloquea los valores de hash nuevos que no se encuentren en la lista de permitidos.
¿Una combinación de Threat Intelligence Exchange (empate) y ATD bloquea esta amenaza el día 0?
TIE y ATD contenían varias muestras de WannaCry de 0 días. Para aquellas muestras que se habían omitido, se añadió más información a la nube, que recogió las siguientes variantes de WannaCry como 0 días. ATD también ha publicado actualizaciones de contenido específicas de WannaCry. Estas actualizaciones de contenido están disponibles en las compilaciones actuales.
¿Por qué denomina genéricamente las reglas de protección de acceso?
Los nombres de reglas no afectan a la propia regla y pueden tener el nombre que desee.
¿Por qué no utiliza la clave de software '\' y no '/'?
' \ ' es la sintaxis correcta que introduciría, pero el producto gestionado modifica la ruta y sustituye todos los ' \ ' por '/'. Por lo tanto, esa es la razón de esta sintaxis.
¿Por qué la regla de extensión de archivo no es: **\*.wnry?
No. Dado que ENS y VSE utilizan una sintaxis de caracteres comodín distinta, es mejor utilizarlo
*.wnry, ya que ambos pueden utilizar esta regla correctamente.
¿En qué archivo DAT normal se ha publicado la cobertura?
ENS DAT 2978 o posterior
Archivos DAT de VSE 8527 o posterior
