Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt

Innholdsfortegnelse:

Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt
Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt

Video: Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt

Video: Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt
Video: The Expert (Short Comedy Sketch) - YouTube 2024, Mars
Anonim

WannaCrypt Ransomware, også kjent med navnene WannaCry, WanaCrypt0r eller Wcrypt er en ransomware som retter seg mot Windows-operativsystemer. Oppdaget på 12th I mai 2017 ble WannaCrypt brukt i et stort Cyber-angrep, og har siden smittet mer enn 230.000 Windows-PCer i 150 land. nå.

Hva er WannaCrypt ransomware

WannaCrypt første treff inkluderer Storbritannias National Health Service, det spanske teleselskapet Telefónica, og logistikkfirmaet FedEx. Slik var omfanget av ransomware-kampanjen at det forårsaket kaos på tvers av sykehus i Storbritannia. Mange av dem måtte bli slått av og utløse operasjonens lukning med kort varsel, mens de ble tvunget til å bruke penn og papir for arbeidet med systemer som ble låst av Ransomware.
WannaCrypt første treff inkluderer Storbritannias National Health Service, det spanske teleselskapet Telefónica, og logistikkfirmaet FedEx. Slik var omfanget av ransomware-kampanjen at det forårsaket kaos på tvers av sykehus i Storbritannia. Mange av dem måtte bli slått av og utløse operasjonens lukning med kort varsel, mens de ble tvunget til å bruke penn og papir for arbeidet med systemer som ble låst av Ransomware.

Hvordan kommer WannaCrypt ransomware inn i datamaskinen din

Som det fremgår av verdensomspennende angrep, får WannaCrypt først tilgang til datasystemet via en epost-vedlegg og deretter kan spre seg raskt gjennom LAN. Ransomware kan kryptere systemets harddisk og forsøker å utnytte SMB-sårbarhet å spre til tilfeldige datamaskiner på Internett via TCP-port og mellom datamaskiner på samme nettverk.

Hvem opprettet WannaCrypt

Det er ingen bekreftede rapporter om hvem som har opprettet WannaCrypt, selv om WanaCrypt0r 2.0 ser ut til å være 2nd forsøk fra sine forfattere. Forløperen, Ransomware WeCry, ble oppdaget i februar i år og krevde 0,1 Bitcoin for å låse opp.

For tiden bruker angriperne bruker Microsoft Windows Evig blå som angivelig ble opprettet av NSA. Disse verktøyene er etter hvert blitt stjålet og lekket av en gruppe som heter Skygge meglere.

Hvordan sprer WannaCrypt

Denne Ransomware sprer seg ved å bruke et sikkerhetsproblem i implementeringer av Server Message Block (SMB) i Windows-systemer. Denne utnyttelsen er oppkalt som EternalBlue som angivelig ble stjålet og misbrukt av en gruppe som ble kalt Skygge meglere.

Interessant, EternalBlue er et hackingsvåpen utviklet av NSA for å få tilgang til og styre datamaskinene som kjører Microsoft Windows. Det ble spesielt utviklet for Amerikas militære etterretningsenhet for å få tilgang til datamaskinene som brukes av terrorister.

WannaCrypt lager en inngangsvektor i maskiner fremdeles ikke oppdaterte selv etter at fikseringen ble tilgjengelig. WannaCrypt retter seg mot alle Windows-versjoner som ikke ble patched for MS-17-010, som Microsoft ga ut i mars 2017 for Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 og Windows Server 2016.

Det vanlige infeksjonsmønsteret inkluderer:

  • Ankomst gjennom sosialtekniske e-postmeldinger designet for å lure brukere for å kjøre malware og aktivere ormespredningsfunksjonaliteten med SMB-utnytte. Rapporter sier at malware blir levert i en infisert Microsoft Word-fil som sendes i en e-post, skjult som et tilbud, en faktura eller et annet relevant dokument.
  • Infeksjon gjennom SMB utnytte når en upakket datamaskin kan adresseres i andre infiserte maskiner

WannaCrypt er en Trojan dropper

Utstilling av egenskaper som av en dropper Trojan, WannaCrypt, forsøker å koble til domenet hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.], ved hjelp av API InternetOpenUrlA ():

Hvis forbindelsen er vellykket, infiserer trusselen imidlertid ikke systemet videre med ransomware eller forsøker å utnytte andre systemer til å spre seg. det stopper bare kjøringen. Det er bare når tilkoblingen mislykkes, fortsetter droppen å slippe ransomware og oppretter en tjeneste på systemet.

Dermed vil blokkering av domenet med brannmur enten på Internett-leverandørens eller nettverksnivået føre til at ransomware fortsetter å spre og kryptere filer.

Dette var akkurat hvordan en sikkerhetsforsker faktisk stoppet WannaCry Ransomware utbruddet! Denne forskeren mener at målet med denne domenekontrollen var at ransomware skulle sjekke om det ble kjørt i en sandkasse. En annen sikkerhetsforsker følte imidlertid at domenekontrollen ikke er proxy-klar.

Når Executed, oppretter WannaCrypt følgende registernøkler:

  • HKLM SOFTWARE Microsoft Windows Currentversion Run = “ Tasksche.exe”
  • HKLM SOFTWARE WanaCrypt0r wd = "

Det endrer bakgrunnen til en løseprismelding ved å endre følgende registernøkkel:

Image
Image

HKCU Kontrollpanel Desktop Bakgrunn: " @ WanaDecryptor @.bmp”

Romsomet spurt mot dekrypteringsnøkkelen begynner med $ 300 Bitcoin som øker etter noen få timer.

Filutvidelser smittet av WannaCrypt

WannaCrypt søker hele datamaskinen for en hvilken som helst fil med noen av følgende filnavntillegg:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv. std,.asp,.mm,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.xx,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.xw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Det omdøper dem da ved å legge til ".WNCRY" i filnavnet

WannaCrypt har rask spredningskapasitet

Ormfunksjonaliteten i WannaCrypt gjør det mulig å infisere unpatched Windows-maskiner i det lokale nettverket. Samtidig utfører den også massiv skanning på Internett-IP-adresser for å finne og infisere andre sårbare PCer. Denne aktiviteten resulterer i store SMB-trafikkdata som kommer fra den infiserte verten, og kan lett spores av SecOps-personell.

Når WannaCrypt har infisert en sårbar maskin, bruker den den til å hoppe på å infisere andre PCer. Syklusen fortsetter videre, da skanningsrutingen oppdager upatchede datamaskiner.

Hvordan beskytte mot Wannacrypt

  1. Microsoft anbefaler oppgradering til Windows 10 som den er utstyrt med nyeste funksjoner og proaktive reduksjoner.
  2. Installer sikkerhetsoppdatering MS17-010 utgitt av Microsoft. Selskapet har også gitt ut sikkerhetsoppdateringer for ikke-støttede Windows-versjoner som Windows XP, Windows Server 2003, etc.
  3. Windows-brukere anbefales å være ekstremt forsiktige med Phishing-e-post og vær veldig forsiktig mens åpner e-postvedleggene eller klikke på web-linker.
  4. Gjøre sikkerhetskopier og hold dem trygt
  5. Windows Defender Antivirus oppdager denne trusselen som Ransom: Win32 / WannaCrypt så aktiver og oppdater og kjør Windows Defender Antivirus for å oppdage denne ransomware.
  6. Gjør bruk av noen Anti-WannaCry Ransomware Tools.
  7. EternalBlue Sårbarhetssjekker er et gratis verktøy som sjekker om Windows-datamaskinen er sårbar for EternalBlue utnytte.
  8. Deaktiver SMB1 med trinnene som er dokumentert på KB2696547.
  9. Vurder å legge til en regel på ruteren eller brannmuren til blokkere innkommende SMB-trafikk på port 445
  10. Bedriftsbrukere kan bruke Enhetsvakt å låse enheter ned og gi virtualiseringsbasert sikkerhet på kjerne nivå, slik at bare tillitsprogrammer kan kjøre.

For å vite mer om dette emnet, les Technet bloggen.

WannaCrypt kan ha blitt stoppet for nå, men du kan forvente en nyere variant å slå mer rasende, så hold deg trygg.

Microsoft Azure-kunder vil kanskje lese Microsofts råd om hvordan å unngå WannaCrypt Ransomware Threat.

OPPDATER: WannaCry Ransomware Decryptors er tilgjengelige. Under gunstige forhold, WannaKey og WanaKiwi, kan to dekrypteringsverktøy hjelpe dekryptere WannaCrypt eller WannaCry Ransomware krypterte filer ved å hente krypteringsnøkkelen som brukes av ransomware.

Anbefalt: