WannaCrypt Ransomware, također poznat po imenima WannaCry, WanaCrypt0r ili Wcrypt, ransomware koji cilja Windows operativne sustave. Otkriveno 12th Svibanj 2017, WannaCrypt je korišten u velikom cyber-napadu i od tada je zaraženo više od 230.000 Windows računala u 150 zemalja. sada.
Što je WannaCrypt ransomware
Kako WannaCrypt ransomware ulazi u vaše računalo
Kao što je vidljivo iz svojih svjetskih napada, WannaCrypt prvo dobiva pristup računalnom sustavu preko email privitak i nakon toga može se brzo širiti LAN, Ransomware može šifrirati hard disk vašeg sustava i pokušava iskoristiti SMB osjetljivost širiti na nasumična računala na Internetu preko TCP portova i između računala na istoj mreži.
Tko je stvorio WannaCrypt
Nema potvrđenih izvješća o tome tko je stvorio WannaCrypt iako WanaCrypt0r 2.0 izgleda kao 2Sjeverna Dakota pokušaja njegovih autora. Njegov prethodnik, Ransomware WeCry, otkrio je još u veljači ove godine i zatražio od 0,1 Bitcoin za otključavanje.
Trenutno napadači navodno koriste Microsoft Windows iskorištavanje Vječno plavo koji je navodno stvorio NSA. Ove alate navodno su ukradeni i propušta skupina koja se zove Shadow Brokers.
Kako se WannaCrypt širi?
Ovaj Ransomware se širi pomoću ranjivosti u implementaciji Server Message Block (SMB) u sustavima Windows. Ovaj se iskorištavanje zove kao EternalBlue koja je navodno ukradena i zloupotrijebljena od strane grupe koja se zove Shadow Brokers.
Zanimljivo, EternalBlue je sjeckanje oružja koje je razvila NSA kako bi stekli pristup i zapovijedalo računalima koja koriste Microsoft Windows. Posebno je bio namijenjen američkoj vojnoj obavještajnoj jedinici da dobije pristup računalima koja koriste teroristi.
WannaCrypt stvara ulazni vektor u strojevima koji još nisu uknjiženi čak i nakon što je popravak postao dostupan. WannaCrypt cilja sve verzije sustava Windows koje nisu bile zakrpe MS-17-010, koji je Microsoft objavio u ožujku 2017. za Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 i Windows Server 2016.
Uobičajeni uzorak infekcije uključuje:
- Dolazak putem e-pošte društvenog inženjeringa osmišljenog kako bi zavarali korisnike da pokreću zlonamjerni softver i aktiviraju funkciju širenja crva pomoću SMB iskorištavanja. Izvješća kažu da se zlonamjerni softver isporučuje u sustavu Windows Vista zaražena Microsoft Word datoteka koji se šalje putem e-pošte, prerušenog u ponudu za posao, fakturu ili drugi relevantni dokument.
- Infekcija putem SMB iskorištava kada se na drugim inficiranim računalima može riješiti nedopušten računalo
WannaCrypt je trojanski kapaljka
Izlaganje svojstava trojice droppera, WannaCrypt, pokušava povezati domenu hxxp: . // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com ., koristeći API InternetOpenUrlA ():
Međutim, ako je veza uspješna, prijetnja ne inficira sustav dalje s otkupnjelošću ili pokušava iskoristiti druge sustave za širenje; jednostavno zaustavlja izvršenje. Tek kada veza ne uspije, kapaljka nastavlja ispustiti otkupninu i stvara uslugu na sustavu.
Zato blokiranje domene vatrozidom na ISP-u ili na razini mreže poduzeća uzrokovat će širenje i enkripciju datoteka.
To je točno kako je sigurnosni istraživač zaustavio WannaCry Ransomware izbijanje! Ovaj istraživač smatra da je cilj ove provjere domene bio da ransomware provjerava je li se pokrenuo u Sandboxu. Međutim, još jedan istraživač za sigurnost smatrao je da provjera domene nije svjesna proxy poslužitelja.
Kada se izvrši, WannaCrypt stvara sljedeće ključeve registra:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = "
”
Mijenjanje pozadine na poruku o otkupnini mijenjanjem sljedećeg ključa registra:
HKCU Kontrolna ploča Desktop Pozadina: " '' WanaDecryptor.bmp”
Počinje se otkupnina o ključu za dešifriranje 300 $ Bitcoin što se povećava nakon svakih nekoliko sati.
Proširenja datoteka zaražena WannaCryptom
WannaCrypt pretražuje cijelo računalo za bilo koju datoteku s bilo kojim od sljedećih proširenja naziva datoteke:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.ldm,.3g2,.lay,.ldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.mus,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Zatim ih preimenuje dodavanjem naziva datoteke ".WNCRY"
WannaCrypt ima brzu sposobnost širenja
Crv funkcionalnost u WannaCrypt omogućuje da se inficiraju nespremne Windows strojeva u lokalnoj mreži. Istodobno, također izvršava masivno skeniranje na internetskim IP adresama radi pronalaženja i infekcije ostalih ranjivih računala. Ova aktivnost rezultira velikim SMB prometnim podacima koji dolaze od zaraženog domaćina, a osoblje tvrtke SecOps može lako pratiti.
Jednom kada WannaCrypt uspješno inficira ranjivi stroj, on ga koristi da se ugrije da inficira druga računala. Ciklus se nadalje nastavlja, jer usmjeravanje skeniranja otkriva nezaražene računala.
Kako zaštititi od Wannacrypt-a
- Preporučuje Microsoft nadogradnja na sustav Windows 10 kao što je opremljen najnovijim značajkama i proaktivnim ublažavanjem.
- Instalirajte sigurnosno ažuriranje MS17-010 objavio Microsoft. Tvrtka je također izdala sigurnosne zakrpe za nepodržane verzije sustava Windows kao što su Windows XP, Windows Server 2003 itd.
- Korisnicima sustava Windows preporučujemo da budete vrlo oprezni u vezi s adresom Phishing i budite vrlo pažljivi otvaranje privitaka e-pošte ili klikom na web-veze.
- Napraviti sigurnosne kopije i čuvajte ih na sigurnom mjestu
- Windows Defender Antivirus otkriva ovu prijetnju kao Ransom: Win32 / WannaCrypt pa omogućite i ažurirajte i pokrenite program Windows Defender Antivirus kako biste otkrili otkupninu.
- Iskoristite neke Anti-WannaCry Ransomware Alati.
- EternalBlue Ranjivost Checker je besplatan alat koji provjerava je li vaše računalo sa sustavom Windows ranjivo Iskorištavaju EternalBlue.
- Onemogućite SMB1 s koracima dokumentiranim na KB2696547.
- Razmislite o dodavanju pravila o vašem usmjerivaču ili vatrozidu blokira ulazni SMB promet na priključku 445
- Korisnici tvrtke mogu koristiti Device Guard za zaključavanje uređaja i pružanje sigurnosti na razini virtualizacije na razini kernela, čime se mogu pokrenuti samo pouzdani programi.
Da biste saznali više o ovoj temi, pročitajte blog Technet.
WannaCrypt možda je zauvijek zaustavljen, ali možete očekivati noviju varijantu da postane žalosnije, stoga budite sigurni i sigurni.
Microsoft Azure korisnici možda žele pročitati Microsoftove savjete o tome kako spriječiti WannaCrypt Ransomware prijetnju.
AŽURIRANJE: WannaCry Ransomware Decryptors su dostupni. Pod povoljnim uvjetima, WannaKey i WanaKiwi, dva alata za dešifriranje mogu pomoći dekriptiranju WannaCrypt ili WannaCry Ransomware šifriranim datotekama dohvaćanjem ključa za enkripciju koju koristi ransomware.
