Esta es una pequeña reseña de lo que Chema Alonso dejó en su foro, link abajo.
Esta parte del análisis es de las más curiosas, ya que no solo tenemos la información de los metadatos de RTF y contamos también con los metadatos de los ficheros ZIP. En las versiones de WannaCry se utiliza un fichero ZIP para descargar el ransomware, y en él se almacena la fecha del último acceso con su propia zona horaria. Analizando las fechas del ZIP se puede concluir que:
2017-04-27 17:25 (hora local del atacante): El atacante crea b.wnry, un fichero BMP en segundo plano y el r.wnry, que contiene el fichero "readme".
2017-05-09 16:57: El atacante crea otro zip con herramientas para conectarse a la red Tor y negociar el rescate. Se descargaron en el sistema de archivos del atacante a las 16:57, 09/05/2017, hora local del atacante, y son empaquetados e introducidos en un nuevo zip, s.wnry.
2017-05-10 01:16: El atacante crea en su sistema c.wnry, que contiene dominios onion de la red Tor y una cartera para bitcoins.
2017-05-11 15:59: Crea r.wnry que contiene instrucciones de borrado.
2017-05-11 16:47: Edita b.wnry.
2017-05-11 20:11: Edita c.wnry de nuevo.
2017-05-11 20:13: Introduce b.wnry en el zip y lo comprime con contraseña.
2017-05-12 02:22: Añade los ficheros EXE: u.wnry y t.wnry. El atacante empaqueta y establece una contraseña. El payload de gusano está listo.
Teniendo en cuenta que cada vez que se infecta un equipo se accede al fichero ZIP para extraer el ransomware, y que las primeras infecciones fueron descubiertas en la zona de Tailandia sobre las UTC 00:00, entonces podemos asumir cuales serían las zonas GMT posibles, es decir, que dentro de ese mismo día fueran posteriores a la fecha de creación del ramsonware.
Fuente:
http://www.elladodelmal.com/2017/06/al-creador-de-wannacry-es-fan-de-messi.html
