Što je WannaCry ransomware, kako djeluje i kako ostati siguran

WannaCry Ransomware, poznat i pod imenima WannaCrypt, WanaCrypt0r ili Wcrypt je ransomware koji cilja operativni sustav Windows. Otkriven 12^th U svibnju 2017. WannaCrypt je korišten u velikom cyber napadu i od tada je zarazio više od 230 000 Windows računala u 150 zemalja. sada.

Što je WannaCry ransomware

Početni hitovi WannaCrypta uključuju britansku Nacionalnu zdravstvenu službu, španjolsku telekomunikacijsku tvrtku Telefónica i logističku tvrtku FedEx. Takve su razmjere kampanje otkupnine izazvale kaos u bolnicama u Ujedinjenom Kraljevstvu. Mnogi od njih morali su biti zatvoreni pokrećući zatvaranje operacija u kratkom roku, dok je osoblje bilo prisiljeno koristiti olovku i papir za svoj rad sa sustavima koje je zaključavao Ransomware.

Kako WannaCry ransomware ulazi u vaše računalo

Kao što je vidljivo iz njegovih svjetskih napada, WannaCrypt prvi put dobiva pristup računalnom sustavu putem email privitak a nakon toga se može brzo širiti kroz LAN. Ransomware može šifrirati tvrdi disk vašeg sustava i pokušati ga iskoristiti SMB ranjivost za širenje na slučajna računala na Internetu putem TCP porta i između računala u istoj mreži.

Tko je stvorio WannaCry

Nema potvrđenih izvještaja o tome tko je stvorio WannaCrypt iako WanaCrypt0r 2.Čini se da je 0^nd pokušaj njegovih autora. Njegov prethodnik, Ransomware WeCry, otkriven je još u veljači ove godine i zahtijevao je 0.1 Bitcoin za otključavanje.

Trenutno napadači navodno koriste Microsoft Windows exploit Vječno plava koju je navodno stvorila NSA. Ove je alate navodno ukrala i procurila u grupu tzv Brokeri sjena.

Kako se WannaCry širi

Ovaj Ransomware širi se ranjivošću u implementacijama Server Message Block (SMB) u Windows sustavima. Ovaj podvig je nazvan EternalBlue koji je navodno ukrala i zloupotrijebila skupina tzv Brokeri sjena.

Zanimljivo, EternalBlue je hakersko oružje koje je razvila NSA za dobivanje pristupa i zapovijedanje računalima sa sustavom Microsoft Windows. Posebno je dizajniran za američku vojnu obavještajnu jedinicu kako bi dobio pristup računalima koje koriste teroristi.

WannaCrypt stvara vektor unosa na strojevima koji još uvijek nisu zakrpani čak i nakon što je popravak postao dostupan. WannaCrypt cilja sve verzije sustava Windows za koje nisu zakrpe MS-17-010, koji je Microsoft objavio u ožujku 2017. za Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 i Windows Server 2016.

Uobičajeni obrazac infekcije uključuje:

• Dolazak putem e-maila socijalnog inženjeringa namijenjenih zavaravanju korisnika da pokrenu zlonamjerni softver i aktiviraju funkciju širenja crva pomoću SMB exploita. Izvješća kažu da se zlonamjerni softver isporučuje u zaražena datoteka Microsoft Word koji se šalje e-poštom, prerušen u ponudu za posao, račun ili drugi relevantan dokument.
• Infekcija putem SMB eksploatacije kada se nezakrpljeno računalo može riješiti na drugim zaraženim računalima

WannaCry je trojanski kapaljka

Pokazujući svojstva trojanca dropper-a, WannaCry, pokušava povezati domenu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, pomoću API-ja InternetOpenUrlA ():

Međutim, ako je veza uspješna, prijetnja ne zaražava sustav dalje ransomwareom ili pokušava iskoristiti druge sustave za širenje; jednostavno zaustavlja izvršenje. Tek kad veza ne uspije, kapaljka nastavi ispuštati ransomware i stvara uslugu u sustavu.

Stoga će blokiranje domene vatrozidom na razini ISP-a ili na razini poslovne mreže uzrokovati da ransomware nastavlja s širenjem i šifriranjem datoteka.

Upravo je to tako kako je istraživač sigurnosti zapravo zaustavio izbijanje WannaCry Ransomware-a! Ovaj istraživač smatra da je cilj ove provjere domene bio da ransomware provjeri radi li se u pješčaniku. Međutim, drugi istraživač sigurnosti smatrao je da provjera domene nije proxy.

Kada se izvrši, WannaCrypt kreira sljedeće ključeve registra:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ taskche.exe "
• HKLM \ SOFTVER \ WanaCrypt0r \\ wd = “"

Mijenja pozadinu u otkupnu poruku mijenjanjem sljedećeg ključa registra:

• HKCU \ Upravljačka ploča \ Desktop \ Pozadina: “\ @ [e-pošta zaštićena] ”

Otkupnina koja se traži za ključ za dešifriranje započinje s Bitcoin 300 dolara koja se povećava nakon svakih nekoliko sati.

Ekstenzije datoteka zaražene WannaCryptom

WannaCrypt pretražuje cijelo računalo bilo koju datoteku s bilo kojim od sljedećih nastavaka naziva datoteke: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .ključ , .sldm , .3g2 , .položiti , .sldm , .3gp , .ležati6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .sql , .LUK , .mdb , .sqlite3 , .uzlazno , .mdf , .sqlitedb , .asf , .sredinom , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .sigurnosna kopija , .mp3 , .suo , .bak , .mp4 , .svg , .šišmiš , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .poruka , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .razred , .odb , .katran , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .str12 , .vdi , .umočiti , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .točka , .php , .wav , .dotm , .mn , .wb2 , .točka , .png , .wk1 , .dwg , .lonac , .tjedana , .edb , .potm , .wma , .eml , .potx , .wmv , .Florida , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .izo , .pst , .xlw , .staklenka , .rar , .zip , .Java , .sirovo

Zatim ih preimenuje dodavanjem ".WNCRY ”na naziv datoteke

WannaCry ima sposobnost brzog širenja

Funkcionalnost crva u WannaCry-u omogućuje mu zarazu neupravljenih Windows računala u lokalnoj mreži. Istodobno, izvršava masovno skeniranje internetskih IP adresa kako bi pronašao i zarazio druga ranjiva računala. Ova aktivnost rezultira velikim podacima o SMB prometu koji dolaze sa zaraženog domaćina, a osoblje SecOps-a može ih lako pratiti.

Jednom kada WannaCry uspješno zarazi ranjivi stroj, koristi ga za skok da zarazi druga računala. Ciklus se dalje nastavlja, jer usmjeravanje skeniranja otkriva neupaljena računala.

Kako se zaštititi od WannaCryja

1. Microsoft preporučuje nadogradnja na Windows 10 jer je opremljen najnovijim značajkama i proaktivnim ublažavanjem.
2. Instalirajte sigurnosno ažuriranje MS17-010 objavio Microsoft. Tvrtka je također objavila sigurnosne zakrpe za nepodržane verzije sustava Windows poput Windows XP, Windows Server 2003 itd.
3. Korisnicima Windowsa savjetuje se da budu izuzetno oprezni prema phishing e-pošti i budu vrlo pažljivi otvaranje privitaka e-pošte ili klikom na web-poveznice.
4. Napraviti sigurnosne kopije i čuvajte ih sigurno
5. Windows Defender Antivirus prepoznaje ovu prijetnju kao Otkupnina: Win32 / WannaCrypt pa omogućite i ažurirajte i pokrenite Windows Defender Antivirus da biste otkrili ovaj ransomware.
6. Iskoristite neke Ransomware alati protiv WannaCry.
7. EternalBlue Vulnerability Checker besplatan je alat koji provjerava je li vaše računalo sa sustavom Windows ranjivo EternalBlue iskorištavanje.
8. Onemogući SMB1 s koracima dokumentiranim na KB2696547.
9. Razmislite o dodavanju pravila na usmjerivaču ili vatrozidu u blokirati dolazni SMB promet na priključku 445
10. Korisnici tvrtke mogu koristiti Zaštita uređaja za zaključavanje uređaja i pružanje sigurnosti temeljene na virtualizaciji na razini jezgre, dopuštajući pokretanje samo pouzdanih aplikacija.

Da biste saznali više o ovoj temi, pročitajte Technet blog.

WannaCrypt je možda zasad zaustavljen, ali možda očekujete da će novija inačica udariti žešće, pa budite sigurni i sigurni.

Korisnici Microsoft Azure možda će htjeti pročitati Microsoftov savjet o tome kako spriječiti WannaCrypt Ransomware prijetnju.

AŽURIRANJE: WannaCry Ransomware dekriptori su dostupni. Pod povoljnim uvjetima, WannaKey i WanaKiwi, dva alata za dešifriranje mogu pomoći u dešifriranju WannaCrypt ili WannaCry Ransomware šifriranih datoteka dohvaćanjem ključa za šifriranje koji koristi ransomware.