Cómo saber si tu equipo está infectado por WannaCry sin instalar las herramientas de desinfección

Con la que ha caído y colea desde el último ciberataque a escala mundial, todavía quedan usuarios que nos manifiestan no saber si están infectados por el ransomware de WannaCry y no se atreven a concertarlos a una red ni a Internet por el riesgo que podría suponer.

Cómo saber si tu equipo está infectado por WannaCry sin instalar las herramientas de desinfección

Ya hemos comentado en otro post algunas herramientas, como PANDA WANNACRY FIX que te servirán para escanear tu equipo y saber si estás infectado, cuestión esta que recomendamos encarecidamente hacer. Pero si por alguna razón no puedes o no quieres instalar ninguna herramienta, hay otra forma más “manual” de saber si estás infectado o no.

Cómo saber si tu equipo está infectado por WannaCry sólo mediante la revisión de carpetas y archivos

1. Suponemos que tienes el equipo apagado, por lo que desconéctalo de la red (cableada y WiFi) y procede a encenderlo.
2. Abre el explorador de archivos (tecla Windows+E) y haz clic en el disco de sistema (normalmente aparece como “Disco local (C:)”.
3. Localiza la carpeta ProgramData. Si no aparece puede ser que la carpeta esté oculta. En ese caso, desde el explorador ir a la pestaña “Vista” >> “Opciones” >> Opciones de carpeta >> seleccionar la pestaña “Ver” >> Comprobar que en el ítem “Archivos y carpetas ocultos” está seleccionado “Mostrar archivos, carpetas y unidades ocultas”.
   
4. Una vez localizada la carpeta ProgramData, haz doble clic en ella para abrirla y comprobar si en ella se encuentra otra carpeta consistente en letras y números aleatorios (algo así como lknsdafasdfsdf587)
5. Si encuentras una carpeta de ese estilo, abrela y revisa si dentro de la misma, hay un fichero de nombre “@WannaDecryptor@.exe”.

Si es así, ya siento decirte que tu equipo tiene muchas posibilidades de estar afectado 

6. El siguiente paso será comprobar si definitivamente el equipo está realmente infectado por WannaCry. Para hacerlo tienes que abrir el administrador de tareas. Para ello, presiona simultáneamente las teclas Ctrl + Mayúsculas + Esc.
7. Con el administrador de tareas abierto, vete a la pestaña “Procesos” y revisa si en la lista te aparece un proceso corriendo llamado “tasksche.exe”.
   
8. Un dato a tener en consideración es que este proceso deja además un en el directorio raíz C:Windows un archivo denominado “tasksche.exe”, por lo que debes revisar también dicho directorio para comprobar si está ese ejecutable.

Si el resultado es positivo, lamento confirmarte que tu equipo está infectado 

Aunque puedes hacer más comprobaciones (como, por ejemplo, saber si tienes algún fichero encriptado), si has llegado hasta aquí nuestra recomendación es que apagues el equipo y te pongas en contacto con nosotros lo antes posible en los teléfonos 902 076 459 o 948 130453 para evaluar cómo podemos ayudarte.

¿Cómo saber si tengo ficheros encriptados por WannaCry?

Si quieres comprobar si tienes algún fichero encriptado, puedes hacer lo siguiente:

1. Abre el explorador de archivos (teclas Windows + E)
2. Haz 1 clic en la unidad C: [Disco Local (C:)]
3. Ve al campo buscar (es fácil, en el explorador de archivos es el campo que está arriba a la derecha y tiene una lupa) e introduce la cadena “*.wncry” (sin las comillas)
4. Pulsa intro para que te busque fichero con la extensión .wncry. En caso positivo, los ficheros que aparezcan en los resultados serán los ficheros ya encriptados.
   

Si no se encuentra la carpeta de forma manual, ¿significa esto que el equipo está libre de riesgo?

Para ser honestos, yo no me fiaría. De hecho, permíteme hacer hincapié en 2 cuestiones MUY IMPORTANTES:

1. Con independencia del resultado de esta búsqueda de cartas y archivos, si sospechas que el equipo puede estar comprometido, ante todo no lo conectes a ninguna red local ni a internet.
2. Ten siempre presente que, aunque no encontremos la carpeta en cuestión no podemos asegurar que el equipo no esté comprometido. Somos humanos y podemos equivocarnos en el proceso y revisión. Para estar seguro lo que debes hacer es realizar un escaneo completo del equipo con un antivirus 100% actualizado a la última versión de firmas. Si no tienes el antivirus actualizado, no conectes el equipo a la red para actualizarlo. Trata de descargarte desde otro equipo no afectado el archivo de actualización a la última firma o, en su defecto, alguna de las herramientas de desinfección que hay disponibles en internet (te recuerdo que en este post dábamos alguna). Guarda los archivos descargados en un USB limpio. Una vez en el USB, podrás pasarlos al equipo que sospeches esté en riesgo, para bien actualizar el antivirus (si lo tenías y es de garantía), o bien para instalar las herramientas alternativas con las que escanear el equipo y localizar el ransomware WannaCry. De ese modo podrás estar seguro de que no está infectado o, llegado el caso, eliminar la amenaza.

Si el equipo no está afectado, pero es vulnerable a estarlo, ¿qué se debe hacer?

¡¡Date prisa y descárgate el parche de Microsoft (MS17-010)!!!

Lo encontrarás en:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

De este tema ya hemos hablado también en el post “Pasos para aplicar el parche de seguridad de Microsoft (MS17-010) para cerrar la puerta a #WannaCry” por lo que date una vuelta por allí si necesitas revisar los detalles del proceso.

Desde Conasa apoyamos a nuestros clientes en su día a día digital, proporcionando servicios de valor sobre infraestructuras, sistemas y soluciones de gestión empresarial.

Ante cualquier incidencia de seguridad que puedas estar experimentando te recordamos que estamos a tu disposición en los teléfonos 902 076 459 y 948 130 453.

Muchas gracias por tu confianza.