Según ha publicado Kaspersky, WannaCry viene en dos piezas. La primera es un exploit que se encarga de la infección y de la propagación. La segunda se trata de un cifrador que se descarga en un ordenador después de ser infectado.La primera supone la gran diferencia entre WannaCry y la mayoría de cifradores. Para infectar un ordenador con un cifrador normal, el usuario debe cometer un error, como, por ejemplo, haciendo clic en un enlace sospechoso, permitiendo que Word ejecute macros maliciosas o descargando un adjunto malicioso de un correo electrónico. Un sistema puede ser infectado con WannaCry sin que el usuario haga nada.
WannaCry: Exploit y propagación
Los creadores de WannaCry se han aprovechado de un exploit de Windows conocido como EternalBlue y que Windows parcheó con la actualización de software MS17-010 el 14 de marzo del presente año. Mediante el exploit, los malos pudieron obtener acceso remoto a los ordenadores e instalar el cifrador.
Si has instalado la actualización, esta vulnerabilidad no te afecta y los intentos de hackear tu ordenador remotamente mediante ella fallarán. Sin embargo, a los investigadores del equipo GReAT de Kaspersky Lab les gustaría recalcar que el hecho de parchear la vulnerabilidad no detendrá del todo al cifrador. Por tanto, si lo abres de algún modo (es decir, si cometes un error), ese parche no te servirá de nada.
Después de hackear con éxito un ordenador, WannaCry intenta distribuirse por toda la red local hacia otros ordenadores del mismo modo en que lo haría un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros ordenadores y, cuando WannaCry encuentra un dispositivo vulnerable, lo ataca y cifra sus archivos.
Por tanto, al infectar un ordenador, WannaCry puede infectar a toda una red local y cifrar todos los ordenadores de la misma. Por ello, las grandes empresas son las que más han sufrido por este ataque (a más ordenadores en la red, mayor puede ser el daño).
