http://www.pandasecurity.com/spain/support/card?id=1688#
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2017/05/Informe_WannaCry-es.pdf
"Herramienta de desinfección y vacuna de Panda Security para #Wannacry":
http://www.pandasecurity.com/spain/support/card?id=1689
-- herramienta Panda WannaCry Fix http://www.pandasecurity.com/spain/support/card?id=1689
http://www.pandasecurity.com/resources/tools/panda-wannacryfix.exe
***********************************************************
21-05-2017: check this: https://support.microsoft.com/es-es/help/4013550/windows-protect-your-pc-from-ransomware
*************************************
Acabo de ver en mi escritorio un fichero t.wnry con fecha 16-05-17. Me acabo de asustar... Hoy es 21-05-17. He ido a una carpeta de fotos y todo parece correcto... Actualizando antivirus y malwarebytes y escaneando pc...
jajajaja, ando tonto, es parte de la vacuna "NoMoreCry" del cni...
"copy /y nul "%USERPROFILE%\Desktop\t.wnry"
Lo ejecuto de nuevo en inicio, cmd.
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2017/05/Informe_WannaCry-es.pdf
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
Si conseguimos apagar pc y desconectarlo de internet:
http://howtoscomos.blogspot.com/2017/05/el-ramsonware-cabron-wannacry-querras.html
_____________________________________
Offtopic that should be read:
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2017/05/Informe_WannaCry-es.pdf
"Herramienta de desinfección y vacuna de Panda Security para #Wannacry":
http://www.pandasecurity.com/spain/support/card?id=1689
-- Security Update for Microsoft Windows SMB Server (4013389)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx-- herramienta Panda WannaCry Fix http://www.pandasecurity.com/spain/support/card?id=1689
http://www.pandasecurity.com/resources/tools/panda-wannacryfix.exe
***********************************************************
21-05-2017: check this: https://support.microsoft.com/es-es/help/4013550/windows-protect-your-pc-from-ransomware
*************************************
Acabo de ver en mi escritorio un fichero t.wnry con fecha 16-05-17. Me acabo de asustar... Hoy es 21-05-17. He ido a una carpeta de fotos y todo parece correcto... Actualizando antivirus y malwarebytes y escaneando pc...
jajajaja, ando tonto, es parte de la vacuna "NoMoreCry" del cni...
"copy /y nul "%USERPROFILE%\Desktop\t.wnry"
Lo ejecuto de nuevo en inicio, cmd.
http://www.pandasecurity.com/spain/mediacenter/src/uploads/2017/05/Informe_WannaCry-es.pdf
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
Si conseguimos apagar pc y desconectarlo de internet:
++++++
++++++++++++++++++++
Resumen, masticado :-P
Copiate en C:\ la siguiente carpeta:
https://drive.google.com/drive/folders/0Bw_-9kSYjSBNZXFpeWVFYjlENEE?usp=sharing
Creo que necesitas una cuenta de gmail, pero prueba a descargarlo aunque no la tengas y sino descargalo del sitio oficial: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
Dentro de esa carpeta ejecuta el fichero nmc.cmd y ejecutalo también como administrador haciendo click derecho encima.
En Windows 7 copialo en la carpeta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup para que se ejecute cada vez que inicias el ordenador.
*******************************************************
En Windows 10 no encuentro esa carpeta (lo cual me sorprende) y agregar a hkey:local_machine, en run no ha sutido ningún efecto. Suelo borrar las entradas de hkey_user en run para que no se inicien esas aplicaciones y pensaba que local machine se refería a la máquina y todos sus usuarios pero no ha funcionado...
************************************************************
No me hago responsable de su mal funcionamiento. Así lo he aplicado yo con lo poco que he entendido :-) Edit: ya han pasado varios meses y ningún problema. Eso sí, ahora ya los ramsonwares se han multiplicado por la red con distintos nombres...
Lo compruebo pulsando CTRL+ALT+SUPR, task manager o administrador de tareas y viendo que se estan ejecutando en procesos (o detalles en Windows 10) varios "NoMoreCry-v0.3.exe *32". Nos protegerá de una versión del ransomware pero supongo que no de todas las que estan apareciendo. Me llama mucho la atención el número tan bajo de víctimas que estan indicando en las noticias. Claro, que quién y cómo estiman el número de víctimas porque mucha gente no lo denuncia ni sabe dónde denunciarlo (https://www.gdt.guardiacivil.es/webgdt/pinformar.php)(https://www.policia.es/colabora.php)... y otros estarán pagando. EN LAS NOTICIAS HAN DICHO QUE SE HA PAGADO Y NO CONSEGUIDO LA CLAVE DE DESENCRIPTACIÓN. INDICAN QUE ES INÚTIL PAGAR (lo cuál me sorprende porque si se corre la voz entonces no hay beneficio económico en este ransomware pero concuerda con la posibilidad de que el ataque este más bien dirigido al indicar las informadas "noticias" que hay pocas victimas... ¿será verdad?)....
*******************************************
************************************************************
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html
+
Fichero README: "NOTA: ejecutando únicamente la herramienta NoMoreCry-v0.2.exe se consigue parar la ejecución del malware, pero para una mayor protección, se recomienda ejecutar adicionalmente los scripts proporcionados con permisos de administrador."
idem para todas las versiones...
Copiate en C:\ la siguiente carpeta:
https://drive.google.com/drive/folders/0Bw_-9kSYjSBNZXFpeWVFYjlENEE?usp=sharing
Creo que necesitas una cuenta de gmail, pero prueba a descargarlo aunque no la tengas y sino descargalo del sitio oficial: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
Dentro de esa carpeta ejecuta el fichero nmc.cmd y ejecutalo también como administrador haciendo click derecho encima.
En Windows 7 copialo en la carpeta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup para que se ejecute cada vez que inicias el ordenador.
*******************************************************
En Windows 10 no encuentro esa carpeta (lo cual me sorprende) y agregar a hkey:local_machine, en run no ha sutido ningún efecto. Suelo borrar las entradas de hkey_user en run para que no se inicien esas aplicaciones y pensaba que local machine se refería a la máquina y todos sus usuarios pero no ha funcionado...
************************************************************
No me hago responsable de su mal funcionamiento. Así lo he aplicado yo con lo poco que he entendido :-) Edit: ya han pasado varios meses y ningún problema. Eso sí, ahora ya los ramsonwares se han multiplicado por la red con distintos nombres...
Lo compruebo pulsando CTRL+ALT+SUPR, task manager o administrador de tareas y viendo que se estan ejecutando en procesos (o detalles en Windows 10) varios "NoMoreCry-v0.3.exe *32". Nos protegerá de una versión del ransomware pero supongo que no de todas las que estan apareciendo. Me llama mucho la atención el número tan bajo de víctimas que estan indicando en las noticias. Claro, que quién y cómo estiman el número de víctimas porque mucha gente no lo denuncia ni sabe dónde denunciarlo (https://www.gdt.guardiacivil.es/webgdt/pinformar.php)(https://www.policia.es/colabora.php)... y otros estarán pagando. EN LAS NOTICIAS HAN DICHO QUE SE HA PAGADO Y NO CONSEGUIDO LA CLAVE DE DESENCRIPTACIÓN. INDICAN QUE ES INÚTIL PAGAR (lo cuál me sorprende porque si se corre la voz entonces no hay beneficio económico en este ransomware pero concuerda con la posibilidad de que el ataque este más bien dirigido al indicar las informadas "noticias" que hay pocas victimas... ¿será verdad?)....
*******************************************
************************************************************
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html
+
Fichero README: "NOTA: ejecutando únicamente la herramienta NoMoreCry-v0.2.exe se consigue parar la ejecución del malware, pero para una mayor protección, se recomienda ejecutar adicionalmente los scripts proporcionados con permisos de administrador."
idem para todas las versiones...
#########################################################
Versión 3.0 de la herramienta NoMoreCry para impedir ejecución de WannaCry en el siguiente enlace y al final del post enlaces directos.
There is a versión 3.0 of NoMoreCry tool to prevent execution of WannaCry RansomWare "Virus" or "Worm" on Windows Systems on next link or direct links at the end of post.
###########################################################
Todo hay que ejecutarlo a cada arranque del ordenador.
Must be run at each start of computer.
Leer el Fichero ReadMe.
Read the ReadMe File.
########################################################
+
Download:
https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
Creo una carpeta con un nombre corto en C:\ y copio en esa carpeta el script EN y todos los archivos NoMoreCry, NoMoreCry_Mutex y los README.txt
Luego creo un fichero cmd... Mejor si lo comparto jajajaja
la duda que tengo es si hayq ue ejecutarlo como Administrador o como Administrador y usuario... Y otra idea sería ejecutarlo y no apagar el ordenador sino hibernarlo.
Creo una carpeta con un nombre corto en C:\ y copio en esa carpeta el script EN y todos los archivos NoMoreCry, NoMoreCry_Mutex y los README.txt
Luego creo un fichero cmd... Mejor si lo comparto jajajaja
la duda que tengo es si hayq ue ejecutarlo como Administrador o como Administrador y usuario... Y otra idea sería ejecutarlo y no apagar el ordenador sino hibernarlo.
+
They say that the tool should be executed at each computer start to prevent WannaCry execution and is not a cure since it is of no help once computer has been compromised... Sincerely, once compromised your files has been encripted and there is no way to unencrypt them. There is a way with a lot of time and power to try to unencrypt files... Seriously... No way to achieve that...
+
https://www.avast.com/es-es/c-ransomware
Avast ofrece herramientas gratuitas para eliminar algunos ransomware anteriores...
+
Cómo funciona:
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
+
They say that the tool should be executed at each computer start to prevent WannaCry execution and is not a cure since it is of no help once computer has been compromised... Sincerely, once compromised your files has been encripted and there is no way to unencrypt them. There is a way with a lot of time and power to try to unencrypt files... Seriously... No way to achieve that...
+
https://www.avast.com/es-es/c-ransomware
Avast ofrece herramientas gratuitas para eliminar algunos ransomware anteriores...
+
Cómo funciona:
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
+
Descargar la herramienta para que WannaCry no se ejecute en Windows y el script:
+++++++++++++++++++++++++++++++++++++++++++++++
About NoMoreCry tool, readme file says:
"Fecha: 20170513
[+] 20170512 Scripts
[-] script_CCN_EN.bat
Script que evita la ejecución del malware en equipos Windows en inglés
[-] script_CCN_ES.bat
Script que evita la ejecución del malware en equipos Windows en español
[+] 20170513 CCN-CERT NoMoreCry Tool
[-] NoMoreCry-v0.1.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en equipos Windows Vista y superiores
[-] NoMoreCry-v0.2.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en equipos Windows XP y superiores
[-] NoMoreCry-Win2000.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en Windows 2000
[-] README_v0.1.txt
Instrucciones de uso de la versión 0.1 de la herramienta
[-] README_v0.2.txt
Instrucciones de uso de la versión 0.2 de la herramienta
[-] README_Win2000.txt
Instrucciones de uso de la versión Win2000 de la herramienta
NOTA: ejecutando únicamente la herramienta NoMoreCry-v0.2.exe se consigue parar la ejecución del malware, pero para una mayor protección, se recomienda ejecutar adicionalmente los scripts proporcionados con permisos de administrador."
[+] 20170512 Scripts
[-] script_CCN_EN.bat
Script que evita la ejecución del malware en equipos Windows en inglés
[-] script_CCN_ES.bat
Script que evita la ejecución del malware en equipos Windows en español
[+] 20170513 CCN-CERT NoMoreCry Tool
[-] NoMoreCry-v0.1.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en equipos Windows Vista y superiores
[-] NoMoreCry-v0.2.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en equipos Windows XP y superiores
[-] NoMoreCry-Win2000.exe
Herramienta para prevenir la infección por el malware WannaCry 2.0 en Windows 2000
[-] README_v0.1.txt
Instrucciones de uso de la versión 0.1 de la herramienta
[-] README_v0.2.txt
Instrucciones de uso de la versión 0.2 de la herramienta
[-] README_Win2000.txt
Instrucciones de uso de la versión Win2000 de la herramienta
NOTA: ejecutando únicamente la herramienta NoMoreCry-v0.2.exe se consigue parar la ejecución del malware, pero para una mayor protección, se recomienda ejecutar adicionalmente los scripts proporcionados con permisos de administrador."
++++++++++++++++++++++++++
+++++++++++++
So, file "script_CCN_EN.bat" is to prevent wannacry execution on English Windows Systems.
As they said on cert site, must be run at each start.
File "NoMoreCry-v0.1.exe" is for Windows Vista versions and newer versions of Windows...
"NoMoreCry-v0.2.exe" is for Windows XP and upper versions.
"NoMoreCry-Win2000.exe" is for Windows 2000.
All against WannaCry 2.0... so that should mean there is a WannaCry 1.0 :-/ wich toll i have no idea where it can be...
*************************************
***********************
Hay una versión 3.0:
Para Windows XP y superiores:
Fichero texto explicaciones:
**************************
*****************
**********
Script Versión española:
copy /y nul t.wnry
icacls t.wnry /deny Todos:W /T
copy /y nul "C:\Users\%USERNAME%\AppData\local\Temp\t.wnry"
icacls C:\Users\%USERNAME%\AppData\local\Temp\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Downloads\t.wnry"
icacls %USERPROFILE%\Downloads\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Desktop\t.wnry"
icacls %USERPROFILE%\Desktop\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Documents\t.wnry"
icacls %USERPROFILE%\Documents\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Music\t.wnry"
icacls %USERPROFILE%\Music\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Pictures\t.wnry"
icacls %USERPROFILE%\Pictures\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Videos\t.wnry"
icacls %USERPROFILE%\Videos\t.wnry /deny Todos:W /T
que si lo ejecuto directamente en la ventana de "cmd" veo si es correcto o no:
C:\Users\user>copy /y nul t.wnry
1 archivo(s) copiado(s).
C:\Users\user>icacls t.wnry /deny Todos:W /T
archivo procesado: t.wnry
AppData\Local\Archivos temporales de Internet\*: Acceso denegado.
Se procesaron correctamente 1 archivos; error al procesar 1 archivos
C:\Users\user>copy /y nul "C:\Users\%USERNAME%\AppData\local\Temp\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls C:\Users\%USERNAME%\AppData\local\Temp\t.wnry /deny Todos:W
/T
archivo procesado: C:\Users\user\AppData\local\Temp\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Downloads\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Downloads\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Downloads\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Desktop\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Desktop\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Desktop\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Documents\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Documents\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Documents\t.wnry
archivo procesado: C:\Users\user\Documents\Mi música\t.wnry
C:\Users\user\Documents\Mi música\*: Acceso denegado.
(TODO OK. EN WINDOWS 7 es un enlace no accesible, ni como Administrador)
Se procesaron correctamente 2 archivos; error al procesar 1 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Music\t.wnry"
Acceso denegado.
0 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Music\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Music\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Pictures\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Pictures\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Pictures\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Videos\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Videos\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Videos\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>
....
https://youtu.be/qBVKbCHIbLo
*****************
**********
Script Versión española:
copy /y nul t.wnry
icacls t.wnry /deny Todos:W /T
copy /y nul "C:\Users\%USERNAME%\AppData\local\Temp\t.wnry"
icacls C:\Users\%USERNAME%\AppData\local\Temp\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Downloads\t.wnry"
icacls %USERPROFILE%\Downloads\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Desktop\t.wnry"
icacls %USERPROFILE%\Desktop\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Documents\t.wnry"
icacls %USERPROFILE%\Documents\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Music\t.wnry"
icacls %USERPROFILE%\Music\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Pictures\t.wnry"
icacls %USERPROFILE%\Pictures\t.wnry /deny Todos:W /T
copy /y nul "%USERPROFILE%\Videos\t.wnry"
icacls %USERPROFILE%\Videos\t.wnry /deny Todos:W /T
que si lo ejecuto directamente en la ventana de "cmd" veo si es correcto o no:
C:\Users\user>copy /y nul t.wnry
1 archivo(s) copiado(s).
C:\Users\user>icacls t.wnry /deny Todos:W /T
archivo procesado: t.wnry
AppData\Local\Archivos temporales de Internet\*: Acceso denegado.
Se procesaron correctamente 1 archivos; error al procesar 1 archivos
C:\Users\user>copy /y nul "C:\Users\%USERNAME%\AppData\local\Temp\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls C:\Users\%USERNAME%\AppData\local\Temp\t.wnry /deny Todos:W
/T
archivo procesado: C:\Users\user\AppData\local\Temp\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Downloads\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Downloads\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Downloads\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Desktop\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Desktop\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Desktop\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Documents\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Documents\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Documents\t.wnry
archivo procesado: C:\Users\user\Documents\Mi música\t.wnry
C:\Users\user\Documents\Mi música\*: Acceso denegado.
(TODO OK. EN WINDOWS 7 es un enlace no accesible, ni como Administrador)
Se procesaron correctamente 2 archivos; error al procesar 1 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Music\t.wnry"
Acceso denegado.
0 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Music\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Music\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Pictures\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Pictures\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Pictures\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>copy /y nul "%USERPROFILE%\Videos\t.wnry"
1 archivo(s) copiado(s).
C:\Users\user>icacls %USERPROFILE%\Videos\t.wnry /deny Todos:W /T
archivo procesado: C:\Users\user\Videos\t.wnry
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
C:\Users\user>
....
https://youtu.be/qBVKbCHIbLo
http://howtoscomos.blogspot.com/2017/05/el-ramsonware-cabron-wannacry-querras.html
_____________________________________
Offtopic that should be read: