Čo je WannaCrypt ransomware, ako funguje a ako zostať v bezpečí

Obsah:

Čo je WannaCrypt ransomware, ako funguje a ako zostať v bezpečí
Čo je WannaCrypt ransomware, ako funguje a ako zostať v bezpečí

Video: Čo je WannaCrypt ransomware, ako funguje a ako zostať v bezpečí

Video: Čo je WannaCrypt ransomware, ako funguje a ako zostať v bezpečí
Video: Most Intelligent Table Tennis Robot - YouTube 2024, November
Anonim

WannaCrypt Ransomware, známe aj pod názvom WannaCry, WanaCrypt0r alebo Wcrypt, je ransomware, ktorý sa zameriava na operačné systémy Windows. Zistené dňa 12th V máji 2017 bol WannaCrypt použitý vo veľkom Cyber-útoku a odvtedy infikoval viac ako 230 000 Windows PC v 150 krajinách. Teraz.

Čo je to ransomware WannaCrypt

Počiatočné zásahy WannaCrypt zahŕňajú britskú národnú zdravotnícku službu, španielsku telekomunikačnú spoločnosť Telefónica a logistickú firmu FedEx. Taký bol rozsah kampane ransomware, ktorý spôsobil chaos v nemocniciach v Spojenom kráľovstve. Mnohí z nich museli byť zavreté spustením zatvárania operácií v krátkej dobe, zatiaľ čo zamestnanci boli nútení používať pero a papier pre svoju prácu so systémami, ktoré uzamkli Ransomware.
Počiatočné zásahy WannaCrypt zahŕňajú britskú národnú zdravotnícku službu, španielsku telekomunikačnú spoločnosť Telefónica a logistickú firmu FedEx. Taký bol rozsah kampane ransomware, ktorý spôsobil chaos v nemocniciach v Spojenom kráľovstve. Mnohí z nich museli byť zavreté spustením zatvárania operácií v krátkej dobe, zatiaľ čo zamestnanci boli nútení používať pero a papier pre svoju prácu so systémami, ktoré uzamkli Ransomware.

Ako sa do vášho počítača dostane program WannaCrypt ransomware

Ako je zrejmé z celosvetových útokov, WannaCrypt získa najprv prístup k počítačovému systému cez emailová príloha a potom sa môže rýchlo šíriť LAN, Ransomware môže zašifrovať váš systémový pevný disk a pokúsi sa zneužiť SMB zraniteľnosť rozširovať do náhodných počítačov na internete prostredníctvom portu TCP a medzi počítačmi v tej istej sieti.

Kto vytvoril WannaCrypt

Neexistujú žiadne potvrdené správy o tom, kto vytvoril WannaCrypt, hoci WanaCrypt0r 2.0 sa zdá byť 2nd pokusom jej autorov. Jeho predchodca, Ransomware WeCry, bol objavený vo februári tohto roka a požadoval 0,1 Bitcoin na odomknutie.

Útočníci v súčasnosti používajú program Microsoft Windows Večný modrý ktorú údajne vytvoril NSA. Tieto nástroje boli údajne ukradnuté a uniknuté skupinou nazývanou Shadow Brokers.

Ako šíri WannaCrypt?

Tento softvér Ransomware sa šíri pomocou zraniteľnosti v implementácii Server Message Block (SMB) v systéme Windows. Toto zneužitie je pomenované ako EternalBlue ktorý údajne bol ukradnutý a zneužitý skupinou nazvanou Shadow Brokers.

Je zaujímavé, EternalBlue je hackingová zbraň vyvinutá NSA na získanie prístupu a ovládanie počítačov so systémom Microsoft Windows. Bol špeciálne určený pre americkú vojenskú spravodajskú jednotku, aby získal prístup k počítačom používaným teroristami.

WannaCrypt vytvára vstupný vektor v strojoch, ktoré stále nie sú správne, aj po oprave. WannaCrypt zacieľuje na všetky verzie systému Windows, pre ktoré neboli napísané žiadne opravy MS-17-010, ktorý Microsoft uvoľnil v marci 2017 pre systémy Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 a Windows Server 2016.

Bežný model infekcie zahŕňa:

  • Príchod prostredníctvom e-mailov v sociálnom inžinierstve, ktorých cieľom je napomáhať používateľom spustiť škodlivý softvér a aktivovať funkciu šírenia červov pomocou technológie SMB. Správy hovoria, že malware je dodávaný v roku infikovaný súbor programu Microsoft Word ktorá je odoslaná v e-maile, skryté ako pracovná ponuka, faktúra alebo iný relevantný dokument.
  • Infekcia prostredníctvom SMB zneužíva, keď sa na iných infikovaných počítačoch môže zaoberať nesprávny počítač

WannaCrypt je trójsky dropper

Vystavujúce vlastnosti, ktoré kvapôčik Trojan, WannaCrypt, pokúša pripojiť doménu hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.], pomocou rozhrania API InternetOpenUrlA ():

Ak je však spojenie úspešné, hrozba neinfikuje systém ďalej s ransomware alebo sa pokúša využiť iné systémy na šírenie; jednoducho zastaví vykonanie. Len vtedy, keď spojenie zlyhá, kvapkadlo pokračuje v odkúpení ransomware a vytvára službu v systéme.

Zablokovanie domény pomocou brány firewall buď na úrovni ISP alebo na úrovni podnikovej siete spôsobí, že ransomware bude ďalej šíriť a šifrovať súbory.

To bolo presne to, ako bezpečnostný výskumník skutočne zastavil vypuknutie WansCry Ransomware! Tento výskumník sa domnieva, že cieľom tejto kontroly domény bolo, aby ransomware skontroloval, či sa spúšťa v Sandboxe. Iný bezpečnostný výskumník sa však domnieval, že kontrola domény nie je informovaná o proxy.

Po spustení WannaCrypt vytvorí nasledujúce kľúče databázy Registry:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Run = “ Tasksche.exe"
  • HKLM SOFTWARE WanaCrypt0r wd = "

Zmena tapety na výkupnú správu zmenou nasledujúceho kľúča databázy Registry:

Image
Image

HKCU Ovládací panel Desktop Tapeta: " @ WanaDecryptor @ bmp"

Požaduje sa výkupné proti dešifrovaciemu kľúču 300 dolárov Bitcoin ktorá sa zvyšuje po niekoľkých hodinách.

Rozšírenia súborov infikované WannaCrypt

WannaCrypt prehľadáva celý počítač pre ľubovoľný súbor s niektorým z nasledujúcich rozšírení názvu súboru:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3d2,.key,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.arc,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ot,.vbs,.der,.ot,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Potom ich premenuje pridaním ".WNCRY" do názvu súboru

WannaCrypt má rýchle rozširovanie

Funkcia červov v programe WannaCrypt umožňuje infikovať neopracované počítače so systémom Windows v lokálnej sieti. Súčasne vykonáva masívne skenovanie na internetových adresách IP na vyhľadanie a infikovanie iných zraniteľných počítačov. Táto činnosť vedie k veľkým prenosom dát SMB, ktoré prichádzajú z infikovaného hostiteľa a môžu byť ľahko sledované personálom SecOps.

Akonáhle WannaCrypt úspešne infikuje zraniteľný počítač, používa ho na zasiahnutie iných počítačov. Cyklus ďalej pokračuje, pretože pri vyhľadávaní skenovania sa nachádzajú nezapísané počítače.

Ako chrániť pred Wannacryptom

  1. Spoločnosť Microsoft odporúča inovácie na systém Windows 10 pretože je vybavený najnovšími funkciami a proaktívnymi zmierneniami.
  2. Nainštalujte aktualizácia zabezpečenia MS17-010 vydané spoločnosťou Microsoft. Spoločnosť tiež vydala bezpečnostné záplaty pre nepodporované verzie systému Windows, ako sú Windows XP, Windows Server 2003 atď.
  3. Používateľom systému Windows sa odporúča, aby boli veľmi opatrní v súvislosti s phishingovou e-mailovou adresou a buďte veľmi opatrní otvorenie príloh e-mailu alebo kliknutím na webové odkazy.
  4. Urobiť zálohy a udržiavať ich bezpečne
  5. Windows Defender Antivirus detekuje túto hrozbu ako Ransom: Win32 / WannaCrypt takže povolíte a aktualizujete a spustite program Windows Defender Antivirus, aby ste zistili tento ransomware.
  6. Využite niektorých Anti-WannaCry Ransomware Tools.
  7. EternalBlue Checker Zraniteľnosti je bezplatný nástroj, ktorý kontroluje, či je váš počítač so systémom Windows zraniteľný EternalBlue využívať.
  8. Zakázať SMB1 s krokmi zdokumentovanými na KB2696547.
  9. Zvážte pridanie pravidla na smerovač alebo firewall blokovanie prichádzajúcej SMB prevádzky na portu 445
  10. Podnikoví používatelia môžu používať Ochranná pomôcka uzamknúť zariadenia a poskytnúť zabezpečenie založené na virtualizácii na úrovni jadra a povoliť spustenie dôveryhodných aplikácií.

Ak chcete vedieť viac o tomto probléme, prečítajte si technický blog.

WannaCrypt môže byť pre túto chvíľu zastavený, ale môžete očakávať, že novšie varianty sa budú viac rozzúriť, takže zostaňte v bezpečí a bezpečne.

Zákazníci spoločnosti Microsoft Azure môžu chcieť prečítať rady spoločnosti Microsoft o tom, ako zabrániť hrozbe WannaCrypt Ransomware Threat.

UPDATE: WannaCry Ransomware Decryptors sú k dispozícii. Za priaznivých podmienok, WannaKey a WanaKiwi, dva dešifrovacie nástroje môžu dešifrovať šifrované súbory WannaCrypt alebo WannaCry Ransomware získaním šifrovacieho kľúča, ktorý používa ransomware.

Odporúča: