WannaCrypt Ransomware, amelyet a WannaCry, a WanaCrypt0r vagy a Wcrypt név is ismernek, egy felszabadító program, amely a Windows operációs rendszereket célozza meg. Felfedezve 12-énth A WannaCryptot 2017 májusában egy nagy cyber-támadásban használták fel, és azóta 150 országban több mint 230 000 Windows PC-t fertőzött meg. Most.
Mi az a WannaCrypt ransomware?
Hogyan nyeri meg a WannaCrypt ransomware a számítógépedet?
A világméretű támadásokból kiderül, hogy a WannaCrypt először a számítógépes rendszerhez fér hozzá email melléklet és ezután gyorsan terjedhet LAN. A ransomware titkosítja a rendszer merevlemezét és megpróbálja kihasználni a SMB sebezhetőség hogy az interneten TCP porton és ugyanazon a hálózaton lévő számítógépeken véletlenszerű számítógépekre terjedjen ki.
Ki hozta létre a WannaCryptot?
Nincsenek megerősített jelentések arról, hogy ki hozta létre a WannaCryptet, bár a WanaCrypt0r 2.0 a 2-esnek néz kind a szerzői kísérlet. Elődjét, a Ransomware WeCry-t idén februárban fedezték fel, és 0,1 Bitcoint igényelt a feloldáshoz.
Jelenleg a támadók a Microsoft Windows exploitét használják Örök kék amelyet állítólag az NSA hozott létre. Ezekről az eszközökről azt állították, hogy ellopják és szivárognak egy hívott csoport által Shadow Brókerek.
Hogyan terjed a WannaCrypt?
Ez a Ransomware átterjed a kiszolgálói üzenetblokk (SMB) implementációinak Windows rendszerekben történő biztonsági résével. Ezt a kizsákmányt a következőként nevezték el: EternalBlue amelyről azt állították, hogy ellopják és visszaélnek egy hívott csoporttal Shadow Brókerek.
Érdekes módon, EternalBlue egy olyan hacker fegyver, amelyet az NSA fejlesztett ki a Microsoft Windows operációs rendszert futtató számítógépekhez való hozzáféréssel és parancsokkal. Ezt kifejezetten arra tervezték, hogy az amerikai katonai hírszerző egység hozzáférjen a terroristák által használt számítógépekhez.
A WannaCrypt létrehoz egy bejegyzésvektort olyan gépekben, amelyek még nem lettek feltöltve, még miután a javítás elérhetővé vált. A WannaCrypt minden olyan Windows verziót céloz meg, amelyre nem került sor MS-17-010, amelyet a Microsoft 2017 márciusában kiadott a Windows Vista, a Windows Server 2008, a Windows 7, a Windows Server 2008 R2, a Windows 8.1, a Windows RT 8.1, a Windows Server 2012, a Windows Server 2012 R2, a Windows 10 és a Windows Server 2016 esetében.
A gyakori fertőzés mintája a következőket tartalmazza:
- Érkezik a társadalombiztosítási e-mailek segítségével, amelyek arra késztetik a felhasználókat, hogy futtassák a rosszindulatú programokat, és aktiválják a féreg-elterjedési funkciókat az SMB-vel. A jelentések szerint a rosszindulatú programot egy fertőzött Microsoft Word fájlt amelyet egy e-mailben küldünk, áldozatául, állásajánlatot, számlát vagy más releváns dokumentumot.
- Az SMB-en keresztül történő fertőzés kihasználja, ha egy nem fertőzött számítógép más fertőzött gépeken kezelhető
A WannaCrypt egy trójai csepegtető
A dropper trójai, a WannaCrypt által mutatott tulajdonságok bemutatása megkísérli a domain kapcsolódását hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, az API InternetOpenUrlA () használatával:
Ha azonban a kapcsolat sikeres, a fenyegetés nem ronthatja tovább a rendszert, vagy megpróbálja kihasználni más rendszerek terjesztését; egyszerűen leállítja a végrehajtást. Csak akkor, ha a kapcsolat meghiúsul, a cseppentő továbbfolytatja a visszaváltási programot, és létrehoz egy szolgáltatást a rendszerben.
Ezért a tűzfalat az ISP-nél vagy a vállalati hálózat szintjén blokkolja a domain, így a felszabadító szoftver folytatja a fájlok terjedését és titkosítását.
Pontosan tudta, hogy egy biztonsági kutató megállította a WannaCry Ransomware kitörését! Ez a kutató úgy érezte, hogy a domain ellenőrzésének célja az volt, hogy a ransomware ellenőrizze, hogy a Sandbox fut-e. Azonban egy másik biztonsági kutató úgy érezte, hogy a domain-ellenőrzés nem proxy-tudat.
Végrehajtva a WannaCrypt létrehozza a következő rendszerleíró kulcsokat:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = "
”
A háttérképet váltási üzenetre váltja az alábbi rendszerleíró kulcs módosításával:
HKCU Control Panel Desktop Háttérkép: " @ WanaDecryptor @.bmp”
A dekódolási kulcs ellen felszólított váltságdíj kezdődik $ 300 Bitcoin ami minden néhány óra után megnő.
A WannaCrypt által fertőzött fájlkiterjesztések
A WannaCrypt a teljes számítógépet a következő fájlnévkiterjesztések bármelyikével keresheti:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Ezután átnevezi őket a ".WNCRY" fájlnév hozzáadásával
A WannaCrypt gyors terjedési képességgel rendelkezik
A WannaCrypt féregfunkciója lehetővé teszi, hogy megfertőzze a Windows rendszerű, nem patkolt gépeket a helyi hálózatban. Ezzel egyidejűleg az internetes IP-címek nagyméretű szkennelését is végzi, hogy megtalálja és megfertőzze más kiszolgáltatott számítógépeket. Ez a tevékenység a fertőzött gazdagép nagyméretű SMB-forgalmának adatait eredményezi, és a SecOps személyzete könnyen nyomon követheti.
Miután a WannaCrypt sikeresen fertőzte meg a sérülékeny gépet, akkor azt más számítógépek fertőzésére használja fel. A ciklus tovább folytatódik, mivel a beolvasási útvonal észleli a be nem töltött számítógépeket.
Hogyan védekezhet a Wannacrypt ellen?
- A Microsoft ajánlja frissítés a Windows 10 rendszerre mivel fel van szerelve a legújabb funkciókkal és proaktív enyhítéssel.
- Telepítse a MS17-010. biztonsági frissítés a Microsoft kiadta. A vállalat biztonsági másolatokat is kiadott a nem támogatott Windows-verziók, például a Windows XP, a Windows Server 2003 stb.
- A Windows-felhasználókat figyelmeztetni kell arra, hogy rendkívül óvatosak legyenek az adathalászatsal kapcsolatos e-mailekről, és legyen nagyon óvatos megnyitva az e-mail mellékleteket vagy kattintson a webes hivatkozásokra.
- csinál mentések és tartsd biztonságban
- Windows Defender Antivirus észleli ezt a fenyegetést Ransom: Win32 / WannaCrypt ezért engedélyezze és frissítse és futtassa a Windows Defender Antivirus programot a ransomware észleléséhez.
- Használj néhányat Anti-WannaCry Ransomware eszközök.
- Az EternalBlue sebezhetőség-ellenőrző egy ingyenes eszköz, amely ellenőrzi, hogy a Windows számítógép sebezhető-e EternalBlue kihasználni.
- Az SMB1 letiltása a KB2696547 számú dokumentumban ismertetett lépésekkel.
- Vegye fontolóra, hogy adj hozzá egy szabályt az útválasztóhoz vagy a tűzfalhoz bejövő SMB forgalom blokkolása a 445-ös porton
- A vállalati felhasználók használhatják Eszközgárda zárolja az eszközöket és biztosítja a kernel szintű virtualizációs alapú biztonságot, amely csak megbízható alkalmazások futását teszi lehetővé.
Ha többet szeretne megtudni erről a témáról, olvassa el a Technet blogot.
A WannaCrypt most már megállt, de egy újabb változat várhatóan még dühödten fog robbanni, ezért biztonságban maradjon.
A Microsoft Azure ügyfelei el szeretnék olvasni a Microsoft tanácsát a WannaCrypt Ransomware fenyegetés elkerüléséről.
UPDATE: WannaCry Ransomware Decryptorok állnak rendelkezésre. Kedvező körülmények között, WannaKey és WanaKiwikét dekódoló eszköz segíthet a WannaCrypt vagy WannaCry Ransomware titkosított fájlok dekódolásában a ransomware által használt titkosítási kulcs visszanyerésével.
