Kaj je ransomware WannaCry, kako deluje in kako ostati varen

WannaCry Ransomware, znan tudi pod imeni WannaCrypt, WanaCrypt0r ali Wcrypt je izsiljevalska programska oprema, namenjena operacijskim sistemom Windows. Odkrito 12. dne^th Maja 2017 je bil WannaCrypt uporabljen v velikem kibernetskem napadu in od takrat okužil več kot 230.000 osebnih računalnikov z operacijskim sistemom Windows v 150 državah. zdaj.

Kaj je WannaCry ransomware

Začetni zadetki WannaCrypt vključujejo britansko nacionalno zdravstveno službo, špansko telekomunikacijsko podjetje Telefónica in logistično podjetje FedEx. Taka razsežnost kampanje odkupovalne programske opreme je povzročila kaos v bolnišnicah v Združenem kraljestvu. Mnoge od njih je bilo treba v kratkem ustaviti, tako da so sprožili operacijo, medtem ko je bilo osebje za delo prisiljeno uporabljati pisalo in papir s sistemi, ki jih je zaklenil Ransomware.

Kako WannaCry ransomware pride v vaš računalnik

Kot je razvidno iz svetovnih napadov, WannaCrypt najprej dostopa do računalniškega sistema prek priloga e-pošte in se nato lahko hitro širi skozi LAN. Izsiljevalska programska oprema lahko šifrira trdi disk vašega sistema in poskuša izkoristiti Ranljivost SMB razširiti na naključne računalnike v internetu prek vrat TCP in med računalniki v istem omrežju.

Kdo je ustvaril WannaCry

Ni potrjenih poročil o tem, kdo je ustvaril WannaCrypt, čeprav WanaCrypt0r 2.Zdi se, da je 2^nd poskus njegovih avtorjev. Njenega predhodnika Ransomware WeCry so odkrili že februarja letos in zahtevali 0.1 Bitcoin za odklepanje.

Trenutno naj bi napadalci uporabljali Microsoft Windows exploit Večno modra ki naj bi ga ustvarila NSA. Ta orodja naj bi ukradla in razkrila skupina z imenom Posredniki v senci.

Kako se širi WannaCry

Ta Ransomware se širi z uporabo ranljivosti pri izvedbah bloka strežnikov sporočil (SMB) v sistemih Windows. Ta podvig je imenovan EternalBlue ki naj bi ga ukradla in zlorabila skupina z imenom Posredniki v senci.

Zanimivo, EternalBlue je hekersko orožje, ki ga je razvila NSA za dostop in upravljanje računalnikov z operacijskim sistemom Microsoft Windows. Zasnovan je bil posebej za ameriško vojaško obveščevalno enoto za dostop do računalnikov, ki jih uporabljajo teroristi.

WannaCrypt ustvari vstopni vektor v računalnikih, ki še vedno niso popravljeni tudi po tem, ko je popravek postal na voljo. WannaCrypt cilja na vse različice sistema Windows, ki niso bile popravljene MS-17-010, ki ga je Microsoft izdal marca 2017 za Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 in Windows Server 2016.

Skupni vzorec okužbe vključuje:

• Prihod prek e-poštnih sporočil o socialnem inženiringu, namenjenih uporabnikom, da zaženejo zlonamerno programsko opremo in aktivirajo funkcijo širjenja črva z izkoriščanjem SMB. Poročila pravijo, da se zlonamerna programska oprema dostavlja v okužena datoteka Microsoft Word ki je poslano v e-poštnem sporočilu, prikrito kot ponudba za delo, račun ali drug ustrezen dokument.
• Okužba z izkoriščanjem SMB, kadar je neprimerjen računalnik mogoče odpraviti v drugih okuženih računalnikih

WannaCry je trojanski kapalnik

Razstavlja lastnosti, ki jih ima trojanski dropper WannaCry, ki poskuša povezati domeno hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, z uporabo API-ja InternetOpenUrlA ():

Če pa je povezava uspešna, grožnja ne okuži sistema še naprej z odkupno programsko opremo ali poskuša izkoristiti drugih sistemov za širjenje; preprosto ustavi izvršitev. Šele ko povezava ne uspe, kapalka spusti odkupno programsko opremo in ustvari storitev v sistemu.

Zato bo blokiranje domene s požarnim zidom na ravni ponudnika internetnih storitev ali na omrežju podjetja povzročilo, da bo ransomware še naprej širil in šifriral datoteke.

Natanko tako je raziskovalec varnosti dejansko ustavil izbruh WannaCry Ransomware! Ta raziskovalec meni, da je bil cilj tega preverjanja domene, da ransomware preveri, ali se izvaja v peskovniku. Vendar pa je drugi raziskovalec varnosti menil, da preverjanje domene ne pozna proxyja.

Ko se izvede, WannaCrypt ustvari naslednje registrske ključe:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ taskche.exe "
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “"

Ozadje spremeni v odkupno sporočilo tako, da spremeni naslednji registrski ključ:

• HKCU \ Nadzorna plošča \ Namizje \ Ozadje: «\ @ [e-pošta zaščitena] «

Odkupnina za ključ za dešifriranje se začne s 300 USD Bitcoin ki se poveča po vsakih nekaj urah.

Razširitve datotek, okužene z WannaCrypt

WannaCrypt po celotnem računalniku išče katero koli datoteko s katero koli od naslednjih priponov imena datoteke: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .tipko , .sldm , .3g2 , .ležati , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .v skladu s , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .sql , .LOK , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .sredina , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .rezerva , .mp3 , .suo , .bak , .mp4 , .svg , .netopir , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .sporočilo , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .razred , .odb , .katran , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .str12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .pika , .php , .wav , .dotm , .mn , .wb2 , .dotx , .png , .wk1 , .dwg , .lonec , .tednov , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .izo , .pst , .xlw , .kozarec , .rar , .zadrgo , .java , .surov

Nato jih preimenuje tako, da doda ".WNCRY «na ime datoteke

WannaCry ima sposobnost hitrega širjenja

Funkcija črva v programu WannaCry omogoča okužbo nepokritih računalnikov Windows v lokalnem omrežju. Hkrati izvaja tudi obsežno skeniranje internetnih naslovov IP za iskanje in okužbo drugih ranljivih osebnih računalnikov. Rezultat te dejavnosti je, da z okuženega gostitelja prihajajo veliki podatki o prometu SMB, ki jih osebje SecOps lahko zlahka izsledi.

Ko WannaCry uspešno okuži ranljiv stroj, z njim skoči, da okuži druge osebne računalnike. Cikel se nadaljuje, saj usmerjevalno optično branje odkrije nepokrite računalnike.

Kako se zaščititi pred WannaCry

1. Microsoft priporoča nadgradnja na Windows 10 saj je opremljen z najnovejšimi funkcijami in proaktivnimi blažilci.
2. Namestite varnostna posodobitev MS17-010 izdal Microsoft. Podjetje je izdalo tudi varnostne popravke za nepodprte različice sistema Windows, kot so Windows XP, Windows Server 2003 itd.
3. Uporabnikom operacijskega sistema Windows priporočamo, da so zelo previdni pri e-pošti z lažnim predstavljanjem in med tem previdni odpiranje e-poštnih prilog ali s klikom na spletne povezave.
4. Znamka varnostne kopije in jih hranite varno
5. Windows Defender Antivirus zazna to grožnjo kot Odkupnina: Win32 / WannaCrypt zato omogočite in posodobite ter zaženite Windows Defender Antivirus, da zazna to odkupno programsko opremo.
6. Izkoristite nekaj Orodja za odkupnino proti WannaCry.
7. EternalBlue Vulnerability Checker je brezplačno orodje, ki preverja, ali je računalnik z operacijskim sistemom Windows ranljiv EternalBlue izkoriščanje.
8. Onemogoči SMB1 s koraki, dokumentiranimi na KB2696547.
9. Razmislite o dodajanju pravila na usmerjevalniku ali požarnem zidu blokiranje dohodnega prometa SMB na vratih 445
10. Uporabniki podjetja lahko uporabljajo Device Guard za zaklepanje naprav in zagotavljanje varnosti na osnovi jedra na osnovi virtualizacije, ki omogoča zagon samo zaupanja vrednim aplikacijam.

Če želite izvedeti več o tej temi, preberite spletni dnevnik Technet.

WannaCrypt je bil za zdaj morda ustavljen, vendar lahko pričakujete, da bo novejša različica udarila bolj besno, zato bodite varni in varni.

Stranke Microsoft Azure bodo morda želele prebrati Microsoftov nasvet, kako preprečiti grožnjo z WannaCrypt Ransomware.

NADGRADNJA: WannaCry Ransomware Decryptors so na voljo. Pod ugodnimi pogoji, WannaKey in WanaKiwi, dve orodji za dešifriranje lahko pomagata dešifrirati šifrirane datoteke WannaCrypt ali WannaCry Ransomware tako, da pridobita šifrirni ključ, ki ga uporablja ransomware.