2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2024-01-15 03:53
WannaCrypt Ransomware, známý také pod názvy WannaCry, WanaCrypt0r nebo Wcrypt, je ransomware zaměřený na operační systémy Windows. Objevil se na 12th V květnu 2017 byl WannaCrypt použit ve velkém kybernetickém útoku a od té doby infikoval více než 230 000 počítačů Windows ve 150 zemích. Nyní.
Co je WannaCrypt ransomware
Jak se do vašeho počítače dostane program WannaCrypt ransomware
Jak je patrné ze svých celosvětových útoků, WannaCrypt nejprve získá přístup k počítačovému systému prostřednictvím systému emailová příloha a poté se může rychle šířit LAN. Ransomware dokáže šifrovat váš systémový pevný disk a pokouší se zneužít Zranitelnost SMB k šíření do náhodných počítačů na Internetu prostřednictvím portu TCP a mezi počítači ve stejné síti.
Kdo vytvořil WannaCrypt
Neexistují žádné potvrzené zprávy o tom, kdo vytvořil WannaCrypt, i když WanaCrypt0r 2.0 vypadá jako 2nd pokus autorů. Jeho předchůdce, Ransomware WeCry, byl objeven v únoru tohoto roku a požadoval 0,1 Bitcoin pro odemčení.
V současné době útočníci údajně používají Microsoft Windows exploit Věčný modrý který údajně vytvořil NSA. Tyto nástroje byly údajně ukradeny a pronikly skupinou nazvanou Shadow Brokers.
Jak se šíří WannaCrypt?
Tento nástroj Ransomware se šíří pomocí chyby zabezpečení v implementacích Server Message Block (SMB) v systémech Windows. Tento exploit je pojmenován jako Eternal Blue která údajně byla ukradena a zneužita skupinou nazvanou Shadow Brokers.
Zajímavě, Eternal Blue je hackovací zbraň vyvinutá NSA, která získá přístup a ovládání počítačů se systémem Microsoft Windows. Byl speciálně navržen pro americkou vojenskou zpravodajskou jednotku, aby získal přístup k počítačům používaným teroristy.
WannaCrypt vytvoří vstupní vektor ve strojích, které jsou ještě nezpracované, i poté, co byla oprava dostupná. WannaCrypt cílí na všechny verze systému Windows, které nebyly patched MS-17-010, který společnost Microsoft vydala v březnu roku 2017 pro Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 a Windows Server 2016.
Obvyklý model infekce zahrnuje:
- Příjezd prostřednictvím e-mailů sociálního inženýrství, jejichž cílem je popudit uživatele ke spuštění malwaru a aktivovat funkci šíření červů pomocí technologie SMB. Zprávy uvádějí, že malware je dodáván v jednom infikovaného souboru aplikace Microsoft Word který je odeslán v e-mailu, zamaskovaný jako nabídka práce, faktura nebo jiný relevantní dokument.
- Infekce prostřednictvím SMB zneužívají, když může být počítač, který není počítačem, adresován jiným infikovaným počítačům
WannaCrypt je trojský dropper
Vystavující vlastnosti, které kapky Trojan, WannaCrypt, se pokouší připojit doménu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] cz, pomocí rozhraní API InternetOpenUrlA ():
Pokud je však spojení úspěšné, hrozba neinfikuje systém dále pomocí ransomwaru nebo se pokouší využít jiné systémy k šíření; jednoduše zastaví provádění. Je to jen v případě, že spojení selže, kapátko pokračuje k upuštění od ransomware a vytvoří službu v systému.
Zablokování domény pomocí brány firewall buď na úrovni ISP nebo podnikové sítě způsobí, že ransomware bude dále šířit a šifrovat soubory.
To bylo přesně to, jak bezpečnostní výzkumník skutečně zastavil vypuknutí WansCry Ransomware! Tento výzkumník se domnívá, že cílem této kontroly domény bylo, aby ransomware zkontroloval, zda byl spuštěn v Sandboxu. Nicméně, jiný bezpečnostní výzkumník se domníval, že kontrola domény není proxy vědomá.
Při spuštění aplikace WannaCrypt vytvoří následující klíče registru:
- HKLM SOFTWARE Microsoft Windows CurrentVersion spusťte
= “ tasksche.exe" - HKLM SOFTWARE WanaCrypt0r wd = "
”
Změní tapetu na výkupní zprávu úpravou následujícího klíče registru:
HKCU Ovládací panely Desktop Tapeta: " @ WanaDecryptor @.bmp"
Požaduje-li výkupné klíč proti dešifrovacímu klíči, začíná $ 300 Bitcoin která se zvyšuje po několika hodinách.
Rozšíření souborů infikovaných službou WannaCrypt
WannaCrypt prohledává celý počítač pro libovolný soubor s některým z následujících přípon souborů:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.arc,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ot,.vbs,.der,,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Pak je přejmenuje přidáním ".WNCRY" do názvu souboru
WannaCrypt má schopnost rychlého šíření
Funkce červů ve službě WannaCrypt umožňuje infikovat neopravené počítače se systémem Windows v místní síti. Současně provádí masivní skenování na internetových adresách IP, aby našel a infikoval další zranitelné počítače. Tato aktivita vede k velkým datům SMB přicházejícím z infikovaného hostitele a může být snadno sledována pracovníky SecOps.
Jakmile WannaCrypt úspěšně infikuje zranitelný počítač, použije ho k zasažení ostatních počítačů. Cyklus dále pokračuje, protože routování skenování zjistí chybné počítače.
Jak chránit před Wannacrypt
- Společnost Microsoft doporučuje upgrade na systém Windows 10 protože je vybaven nejnovějšími funkcemi a proaktivními zmírněními.
- Nainstalujte aktualizace zabezpečení MS17-010 vydané společností Microsoft. Společnost také vydala bezpečnostní záplaty pro nepodporované verze systému Windows jako Windows XP, Windows Server 2003 atd.
- Uživatelům systému Windows se doporučuje, aby byli velice obezřetní vůči phishingovému e-mailu a byli velmi opatrní otevření příloh e-mailu nebo kliknutím na webové odkazy.
- Udělat záloh a udržet je bezpečně
- Windows Defender Antivirus detekuje tuto hrozbu jako Ransom: Win32 / WannaCrypt tak povolte a aktualizujte a spusťte program Windows Defender Antivirus, abyste tento ransomware zjistili.
- Využijte některé Anti-WannaCry Ransomware nástroje.
- EternalBlue Checker Vulnerability je bezplatný nástroj, který kontroluje, zda je váš počítač Windows zranitelný EternalBlue využívat.
- Zakázat službu SMB1 s kroky popsanými v KB2696547.
- Zvažte přidání pravidla na směrovači nebo bráně firewall blokovat příchozí přenos SMB na portu 445
- Podnikové uživatele mohou používat Strážce zařízení uzamknout zařízení a poskytnout zabezpečení založené na virtualizaci na úrovni jádra a umožnit spuštění pouze důvěryhodných aplikací.
Chcete-li vědět více o tomto tématu, přečtěte si technet blog.
WannaCrypt může být prozatím zastavena, ale můžete očekávat, že novější varianta se bude šířit zuřivěji, takže buďte v bezpečí a bezpečí.
Zákazníci společnosti Microsoft Azure mohou chtít přečíst rady společnosti Microsoft o tom, jak zabránit hrozbě WannaCrypt Ransomware Threat.
AKTUALIZACE: WannaCry Ransomware Decryptors jsou k dispozici. Za příznivých podmínek, WannaKey a WanaKiwi, dva dešifrovací nástroje mohou dešifrovat šifrované soubory WannaCrypt nebo WannaCry Ransomware získáním šifrovacího klíče používaného ransomware.
Doporučuje:
Co je chyba srdce a jak se chránit a zůstat v bezpečí?
Srdcová chyba v OpenSSL je chyba v systému, která umožňuje hackerům hackovat data, která jsou v paměti serveru, čímž se stáváte zranitelní proti krádeži dat.
Tipy, jak zůstat v bezpečí ve veřejných počítačích
Naučte se, jak zůstat v bezpečí na veřejných počítačích v internetovém kavárně, pokrývá pravidla, nebezpečí, rizika používání, preventivní opatření a věci, které byste měli odstranit.
Co je Email Spoofing a jak se chránit a zůstat v bezpečí
Email Spoofing je forma phishingu. Odesílatelé používají adresy ostatních jako návnadu. Další informace o prevenci spoofingu pomocí e-mailu, jak ji zastavit, chránit se a zůstat v bezpečí.
Kritická karta Skimming and Pin krádeže podvody - Jak zůstat v bezpečí
Tento příspěvek se podívá na podvody s krádežemi kreditních karet a jejich krádeže, na použitá zařízení a na to, jak můžete zůstat v bezpečí. Vysvětluje také vybírání bankomatů, padělané kolíčky, atd.
Co je Cold Boot Attack a jak můžete zůstat v bezpečí?
Článek vysvětluje, jaký je Cold Boot Attack, jak se provádí, proč se jmenuje Cold Boot Attack a opatření, která můžete provést, aby se snížily následky takových útoků.