WannaCrypt Ransomware, mida nimetatakse ka WannaCry nimeks, WanaCrypt0r või Wcrypt on Windowsi operatsioonisüsteemidele suunatud ransomäär. Avastati 12. päevalth Mai 2017 kasutas WannaCrypt suurt küberrünnakut ja on nakatanud rohkem kui 230 000 Windowsi arvutit 150 riigis. nüüd.
Mis on WannaCrypt ransomware
Kuidas WannaCrypt ransomware teie arvutisse jõuab?
Nagu ilmnevad ülemaailmsetest rünnakutest, saab WannaCrypt esmalt juurdepääsu arvutisüsteemile e-posti manus ja seejärel võib kiiresti levida läbi LAN. Ransomware võib krüptida teie süsteemi kõvaketta ja üritab seda kasutada SMB haavatavus levitada Interneti-juhuslikke arvuteid TCP porti ja sama võrgu arvutite vahel.
Kes loonud WannaCrypt'i
WannaCrypt'i loonud ei ole kinnitatud aruandeid, kuigi WanaCrypt0r 2.0 näib olevat 2nd selle autorite katse. Selle eelkäija, Ransomware WeCry, avastati käesoleva aasta veebruaris ja nõudis 0,1 Bitcoini avamist.
Praegu väidavad ründajad, et Microsoft Windows kasutab Igavene sinine mis väidetavalt oli loodud riikliku julgeolekuasutuse poolt. Nimetatud tööriistad on teadaolevalt varastatud ja lekkinud nimega rühm Shadow Brokers.
Kuidas WannaCrypt levib?
See Ransomware levib, kasutades Windowsi süsteemides Serveri sõnumiboksi (SMB) rakenduste haavatavust. Seda kasutajat nimetatakse EternalBlue mida rühmitus nimega varjutas ja kasutas valesti Shadow Brokers.
Huvitav, EternalBlue on NSA poolt välja töötatud häkkimise relv, et pääseda juurde ja käitada Microsoft Windowsi kasutavaid arvuteid. See oli spetsiaalselt loodud Ameerika sõjaväe luureüksusele, et saada juurdepääs terroristide kasutatavatele arvutitele.
WannaCrypt loob sisestuse vektori masinates, mis pole veel lahtipakitud, isegi pärast fikseerimise kasutamist. WannaCrypt sihib kõiki Windowsi versioone, mis ei olnud leitud MS-17-010mis Microsoft avaldas 2017. aasta märtsis Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 ja Windows Server 2016 jaoks.
Tavaline nakkuse muster sisaldab:
- Saate siseneda sotsiaalse insener-e-kirju, mis on mõeldud kasutajate petutamiseks pahavara käitamiseks ja vägivallakuritegude ekspluateerimiseks kasutama ussilaiendamise funktsioone. Aruannetes öeldakse, et pahavara viiakse sisse nakatunud Microsoft Wordi fail mis saadetakse e-posti teel, varjatud tööpakkumise, arve või muu asjakohase dokumendina.
- Infektsioon SMB-i kaudu saab ära kasutada, kui taastunud arvutit on võimalik teistel nakatunud masinal adresseerida
WannaCrypt on Trooja pilve
Näpunäide, mis näitab tühjendusvedeliku Trooja WannaCrypt omadusi, üritab domeeni ühendada hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, kasutades InternetOpenUrlA () API-d:
Siiski, kui ühendus on edukas, ei ohusta see süsteem veel ransomaterjaliga ega püüa kasutada teisi süsteeme levitamiseks; see lihtsalt peatab täitmise. Alles siis, kui ühendus ebaõnnestub, langeb tühjendaja ransomaterjali ja loob teenuse süsteemi.
Seega, domeeni blokeerimine tulemüüriga kas ISP või ettevõtte võrgutasandil muudab ransomaterjali failide levimise ja krüpteerimise jätkamiseks.
See oli täpselt nii, kuidas julgeolekualane teadur WannaCry Ransomware puhangust tegelikult lõpetas! See teadlane leiab, et selle domeenikontrolli eesmärk oli ransomaterjal, et kontrollida, kas see on liivakastis käitatav. Teine turvalisuse uurija tundis siiski, et domeeni kontroll ei ole proxy-teadlik.
Kui Executed käivitatakse, loob WannaCrypt järgmised registrivõtmed:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ tasksche.exe" - HKLM SOFTWARE WanaCrypt0r wd = "
”
See muudab taustapilt lunarakenduseks, muutes järgmist registrivõtit:
HKCU Control Panel Desktop Wallpaper: " @ WanaDecryptor @.bmp"
Alguses küsitakse lunaraha dešifreerimisvõtme vastu $ 300 Bitcoin mis suureneb iga paari tunni tagant.
WannaCrypti poolt nakatunud faililaiendid
WannaCrypt otsib kogu arvutit mis tahes failiga, millel on mõni järgmistest failinime laienditest:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,. ost,.uop,.db,.otg,.oot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,. vsdx,.dot,.php,.wav,.dotm,.pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,. rar,.zip,.java,.raw
Seejärel nimetab see nimeks ümber, lisades failinime juurde ".WNCRY"
WannaCryptil on kiire levikuvõime
WannaCrypt-usside funktsionaalsus võimaldab see nakatada kohalikku võrku taastamata Windowsi masinaid. Samal ajal käivitab ta ka Interneti-IP-aadresside ulatusliku skaneerimise, et leida ja nakatada teisi haavatavaid arvuteid. Selle tegevuse tulemuseks on suured SMB-i liikluse andmed, mis pärinevad nakatatud hostist, ja seda saab hõlpsalt jälgida SecOpsi personali poolt.
Kui WannaCrypt nakatab edukalt haavatavat masinat, kasutab ta seda teiste arvutitega nakatamiseks. Tsükkel jätkub jätkuvalt, kuna skaneerimissuundamine avastab unpatched arvutid.
Kuidas kaitsta Wannacrypt'i vastu
- Microsoft soovitab üleminek Windows 10-le kuna see on varustatud uusimate funktsioonide ja ennetavate leevendustega.
- Installige turvavärskendus MS17-010 Microsoft avaldas. Samuti on ettevõte välja andnud turvapaigad toetamata Windowsi versioonidele nagu Windows XP, Windows Server 2003 jne.
- Windowsi kasutajatel soovitatakse olla nuhkvara e-kirja suhtes väga ettevaatlik ning olla väga ettevaatlik e-posti manuste avamine või veebilinkide klikkimine.
- Tegema varukoopiaid ja hoidke neid kindlalt
- Windows Defender Antivirus tuvastab selle ohu Ransom: Win32 / WannaCrypt nii et lubage ja värskendage ja käivitage Windows Defender Antivirus, et seda ransomäärt tuvastada.
- Kasutage mõnda Anti-WannaCry Ransomware tööriistad.
- EternalBlue haavatavuse kontroll on tasuta tööriist, mis kontrollib, kas teie Windowsi arvuti on haavatav EternalBlue ära kasuta.
- Keela SMB1 sammuga, mis on dokumenteeritud KB2696547-s.
- Kaaluge ruuteri või tulemüüri reegli lisamist blokeerib sissetuleva SMB liikluse sadamas 445
- Ettevõtte kasutajad võivad seda kasutada Seadme valvur seadmete lukustamiseks ja kernelitasandil põhineva virtualiseerimisepõhise julgeoleku pakkumiseks, võimaldades ainult usaldusväärsete rakenduste käivitamist.
Selle teema kohta lisateabe saamiseks lugege Tehnet blogi.
WannaCrypt võib nüüd olla peatatud, kuid võite oodata uuemat varianti, mis oleks võltsimatult levinud, nii et jääge turvaliseks ja turvaliseks.
Microsoft Azure'i kliendid võivad soovida lugeda Microsofti nõuandeid selle kohta, kuidas vältida WannaCrypt Ransomware'i ohtu.
UPDATE: WannaCry Ransomware dekriptoreid on saadaval. Soodsatel tingimustel WannaKey ja WanaKiwi, kaks dekodeerimisvahendit aitavad Wanscrypt või WannaCry Ransomware krüptitud faile dekrüpteerida, hankides krüpteerimisvõtme, mida ransomäärt kasutab.
