Co je WannaCrypt ransomware, jak to funguje a jak zůstat v bezpečí

Obsah:

Video: Co je WannaCrypt ransomware, jak to funguje a jak zůstat v bezpečí

Video: Co je WannaCrypt ransomware, jak to funguje a jak zůstat v bezpečí
Video: How to Fix Outlook Send Receive Error [Solved] 2024, Březen
Co je WannaCrypt ransomware, jak to funguje a jak zůstat v bezpečí
Co je WannaCrypt ransomware, jak to funguje a jak zůstat v bezpečí
Anonim

WannaCrypt Ransomware, známý také pod názvy WannaCry, WanaCrypt0r nebo Wcrypt, je ransomware zaměřený na operační systémy Windows. Objevil se na 12th V květnu 2017 byl WannaCrypt použit ve velkém kybernetickém útoku a od té doby infikoval více než 230 000 počítačů Windows ve 150 zemích. Nyní.

Co je WannaCrypt ransomware

Počáteční výsledky WannaCrypt zahrnují britskou národní zdravotní službu, španělskou telekomunikační firmu Telefónica a logistickou firmu FedEx. Takový byl rozsah kampaně ransomware, který způsobil chaos v nemocnicích ve Spojeném království. Mnoho z nich muselo být zavřeno spouštění spouštění operací v krátké době, zatímco zaměstnanci byli nuceni používat pero a papír pro jejich práci s systémy být zamčený Ransomware.
Počáteční výsledky WannaCrypt zahrnují britskou národní zdravotní službu, španělskou telekomunikační firmu Telefónica a logistickou firmu FedEx. Takový byl rozsah kampaně ransomware, který způsobil chaos v nemocnicích ve Spojeném království. Mnoho z nich muselo být zavřeno spouštění spouštění operací v krátké době, zatímco zaměstnanci byli nuceni používat pero a papír pro jejich práci s systémy být zamčený Ransomware.

Jak se do vašeho počítače dostane program WannaCrypt ransomware

Jak je patrné ze svých celosvětových útoků, WannaCrypt nejprve získá přístup k počítačovému systému prostřednictvím systému emailová příloha a poté se může rychle šířit LAN. Ransomware dokáže šifrovat váš systémový pevný disk a pokouší se zneužít Zranitelnost SMB k šíření do náhodných počítačů na Internetu prostřednictvím portu TCP a mezi počítači ve stejné síti.

Kdo vytvořil WannaCrypt

Neexistují žádné potvrzené zprávy o tom, kdo vytvořil WannaCrypt, i když WanaCrypt0r 2.0 vypadá jako 2nd pokus autorů. Jeho předchůdce, Ransomware WeCry, byl objeven v únoru tohoto roku a požadoval 0,1 Bitcoin pro odemčení.

V současné době útočníci údajně používají Microsoft Windows exploit Věčný modrý který údajně vytvořil NSA. Tyto nástroje byly údajně ukradeny a pronikly skupinou nazvanou Shadow Brokers.

Jak se šíří WannaCrypt?

Tento nástroj Ransomware se šíří pomocí chyby zabezpečení v implementacích Server Message Block (SMB) v systémech Windows. Tento exploit je pojmenován jako Eternal Blue která údajně byla ukradena a zneužita skupinou nazvanou Shadow Brokers.

Zajímavě, Eternal Blue je hackovací zbraň vyvinutá NSA, která získá přístup a ovládání počítačů se systémem Microsoft Windows. Byl speciálně navržen pro americkou vojenskou zpravodajskou jednotku, aby získal přístup k počítačům používaným teroristy.

WannaCrypt vytvoří vstupní vektor ve strojích, které jsou ještě nezpracované, i poté, co byla oprava dostupná. WannaCrypt cílí na všechny verze systému Windows, které nebyly patched MS-17-010, který společnost Microsoft vydala v březnu roku 2017 pro Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 a Windows Server 2016.

Obvyklý model infekce zahrnuje:

  • Příjezd prostřednictvím e-mailů sociálního inženýrství, jejichž cílem je popudit uživatele ke spuštění malwaru a aktivovat funkci šíření červů pomocí technologie SMB. Zprávy uvádějí, že malware je dodáván v jednom infikovaného souboru aplikace Microsoft Word který je odeslán v e-mailu, zamaskovaný jako nabídka práce, faktura nebo jiný relevantní dokument.
  • Infekce prostřednictvím SMB zneužívají, když může být počítač, který není počítačem, adresován jiným infikovaným počítačům

WannaCrypt je trojský dropper

Vystavující vlastnosti, které kapky Trojan, WannaCrypt, se pokouší připojit doménu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] cz, pomocí rozhraní API InternetOpenUrlA ():

Pokud je však spojení úspěšné, hrozba neinfikuje systém dále pomocí ransomwaru nebo se pokouší využít jiné systémy k šíření; jednoduše zastaví provádění. Je to jen v případě, že spojení selže, kapátko pokračuje k upuštění od ransomware a vytvoří službu v systému.

Zablokování domény pomocí brány firewall buď na úrovni ISP nebo podnikové sítě způsobí, že ransomware bude dále šířit a šifrovat soubory.

To bylo přesně to, jak bezpečnostní výzkumník skutečně zastavil vypuknutí WansCry Ransomware! Tento výzkumník se domnívá, že cílem této kontroly domény bylo, aby ransomware zkontroloval, zda byl spuštěn v Sandboxu. Nicméně, jiný bezpečnostní výzkumník se domníval, že kontrola domény není proxy vědomá.

Při spuštění aplikace WannaCrypt vytvoří následující klíče registru:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion spusťte = “ tasksche.exe"
  • HKLM SOFTWARE WanaCrypt0r wd = "

Změní tapetu na výkupní zprávu úpravou následujícího klíče registru:

Image
Image

HKCU Ovládací panely Desktop Tapeta: " @ WanaDecryptor @.bmp"

Požaduje-li výkupné klíč proti dešifrovacímu klíči, začíná $ 300 Bitcoin která se zvyšuje po několika hodinách.

Rozšíření souborů infikovaných službou WannaCrypt

WannaCrypt prohledává celý počítač pro libovolný soubor s některým z následujících přípon souborů:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.arc,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ot,.vbs,.der,,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Pak je přejmenuje přidáním ".WNCRY" do názvu souboru

WannaCrypt má schopnost rychlého šíření

Funkce červů ve službě WannaCrypt umožňuje infikovat neopravené počítače se systémem Windows v místní síti. Současně provádí masivní skenování na internetových adresách IP, aby našel a infikoval další zranitelné počítače. Tato aktivita vede k velkým datům SMB přicházejícím z infikovaného hostitele a může být snadno sledována pracovníky SecOps.

Jakmile WannaCrypt úspěšně infikuje zranitelný počítač, použije ho k zasažení ostatních počítačů. Cyklus dále pokračuje, protože routování skenování zjistí chybné počítače.

Jak chránit před Wannacrypt

  1. Společnost Microsoft doporučuje upgrade na systém Windows 10 protože je vybaven nejnovějšími funkcemi a proaktivními zmírněními.
  2. Nainstalujte aktualizace zabezpečení MS17-010 vydané společností Microsoft. Společnost také vydala bezpečnostní záplaty pro nepodporované verze systému Windows jako Windows XP, Windows Server 2003 atd.
  3. Uživatelům systému Windows se doporučuje, aby byli velice obezřetní vůči phishingovému e-mailu a byli velmi opatrní otevření příloh e-mailu nebo kliknutím na webové odkazy.
  4. Udělat záloh a udržet je bezpečně
  5. Windows Defender Antivirus detekuje tuto hrozbu jako Ransom: Win32 / WannaCrypt tak povolte a aktualizujte a spusťte program Windows Defender Antivirus, abyste tento ransomware zjistili.
  6. Využijte některé Anti-WannaCry Ransomware nástroje.
  7. EternalBlue Checker Vulnerability je bezplatný nástroj, který kontroluje, zda je váš počítač Windows zranitelný EternalBlue využívat.
  8. Zakázat službu SMB1 s kroky popsanými v KB2696547.
  9. Zvažte přidání pravidla na směrovači nebo bráně firewall blokovat příchozí přenos SMB na portu 445
  10. Podnikové uživatele mohou používat Strážce zařízení uzamknout zařízení a poskytnout zabezpečení založené na virtualizaci na úrovni jádra a umožnit spuštění pouze důvěryhodných aplikací.

Chcete-li vědět více o tomto tématu, přečtěte si technet blog.

WannaCrypt může být prozatím zastavena, ale můžete očekávat, že novější varianta se bude šířit zuřivěji, takže buďte v bezpečí a bezpečí.

Zákazníci společnosti Microsoft Azure mohou chtít přečíst rady společnosti Microsoft o tom, jak zabránit hrozbě WannaCrypt Ransomware Threat.

AKTUALIZACE: WannaCry Ransomware Decryptors jsou k dispozici. Za příznivých podmínek, WannaKey a WanaKiwi, dva dešifrovací nástroje mohou dešifrovat šifrované soubory WannaCrypt nebo WannaCry Ransomware získáním šifrovacího klíče používaného ransomware.

Doporučuje: