WannaCry ransomware, también conocido como WannaCrypt0r o WCry ransomware
La versión 1.0 de este ransomware fue descubierto 10 de febrero y luego se vio en una breve campaña el 25 de marzo.
La versión 2.0 de este ransomware salió de la nada y comenzó a propagarse como la pólvora, el 12 de mayo.
WannaCry ha sido reportado en más de 150 países alrededor del mundo, afectando a cientos de miles de máquinas y más de 10.000 empresas – entre ellas Telefónica, en España; Renault, en Francia; el sistema de salud de Reino Unido, o el propio sistema ferroviario alemán, entre otras…
El ransomware WannaCry aprovecha una vulnerabilidad del sistema operativo Windows reconocida por la propia compañía el pasado 14 de marzo y que se salva instalando el parche correspondiente.
El problema llega cuando estas actualizaciones de seguridad, tanto de Windows como del resto de los programas instalados en todos y cada uno de los equipos de cualquier red empresarial, no se realizan.
Una vez que el malware se ejecuta en la máquina de la víctima, se generará un nuevo par de claves asimétricas RSA 2048. Esto significa que cada víctima necesita su propia clave de descifrado.
Después de cifrar los archivos, utiliza la funcionalidad de gusano, se crean dos hilos. El primer hilo escanea los hosts en la LAN. El segundo hilo se crea 128 veces y escanea hosts de Internet en general para seguir auto-propagandose.