WannaCrypt Ransomware, kas arī pazīstams ar nosaukumiem WannaCry, WanaCrypt0r vai Wcrypt ir ransomware, kas vērsta uz Windows operētājsistēmām. Atklāts 12th 2017. gada maijā WannaCrypt tika izmantots lielā kiberuzbrukumā, un kopš tā laika ir inficējies vairāk nekā 230 000 Windows datoru 150 valstīs. tagad
Kas ir WannaCrypt ransomware
Kā WannaCrypt ransomware nokļūst jūsu datorā
Kā redzams no globālajiem uzbrukumiem, WannaCrypt vispirms iegūst piekļuvi datorsistēmai, izmantojot e-pasta pielikums un pēc tam var strauji izplatīties cauri LAN. Ransomware var šifrēt jūsu sistēmas cieto disku un mēģina izmantot SMB neaizsargātība izplatīt uz izlases datoriem internetā, izmantojot TCP portu, un starp datoriem tajā pašā tīklā.
Kas izveidoja WannaCrypt
Nav apstiprinātu ziņojumu par to, kurš ir izveidojis WannaCrypt, lai gan WanaCrypt0r 2.0 šķiet 2nd tās autoru mēģinājums. Tās priekšgājējs, Ransomware WeCry, tika atklāts šā gada februārī un pieprasīja 0.1 Bitcoin, lai to atraisītu.
Pašlaik uzbrucēji tiek izmantoti, izmantojot Microsoft Windows Mūžīgais zils kuru, iespējams, radīja NSA. Ir ziņots, ka šie rīki ir nozagti un noplūduši no grupas Ēnu brokeri.
Kā WannaCrypt izplatās
Šis Ransomware izplatās, izmantojot Windows sistēmas Server Message Block (SMB) ieviešanas ievainojamību. Šis exploit tiek nosaukts kā EternalBlue kas, kā ziņots, ir nozagta un ļaunprātīgi izmantota no grupas Ēnu brokeri.
Interesanti, ka EternalBlue ir NSA izstrādāts datorseraksts, lai piekļūtu datoriem, kuros darbojas operētājsistēma Microsoft Windows, un tās komandu. Tas bija īpaši paredzēts Amerikas militārās izlūkošanas vienībai, lai piekļūtu teroristu izmantotajiem datoriem.
WannaCrypt izveido ievades vektoru mašīnās, kas joprojām netiek izlaistas pat pēc tam, kad fiksācija ir kļuvusi pieejama. WannaCrypt mērķētas uz visām Windows versijām, kas nebija ielādētas MS-17-010, kuru Microsoft izlaida 2017. gada martā operētājsistēmai Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 un Windows Server 2016.
Kopējais infekcijas modelis ietver:
- Iebraukšana, izmantojot sociālās inženierijas e-pasta ziņojumus, kuru mērķis ir ļaunprātīgi izmantot lietotājus, lai palaistu ļaunprogrammatūru, un aktivizēt tārpu izplatīšanas funkcionalitāti, izmantojot SMB. Ziņojumos teikts, ka ļaunprogrammatūra tiek piegādāta vietnē inficēts Microsoft Word fails kas tiek nosūtīts e-pastā, slēpts kā darba piedāvājums, rēķins vai cits atbilstošs dokuments.
- Infekcija, izmantojot SMB, tiek izmantota, ja nepiesūtītā datora palīdzību var risināt citās inficētajās iekārtās
WannaCrypt ir Trojas zibspuldze
Tiešsaistes Trojan, WannaCrypt, īpašību izpausme mēģina savienot domēnu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, izmantojot APIOnOpenUrlA ():
Tomēr, ja savienojums ir veiksmīgs, draudu sistēma netiek inficēta ar ransomware vai mēģina izmantot citas sistēmas izplatīšanai; tas vienkārši pārtrauc izpildi. Tikai tad, ja savienojums neizdodas, pilinātājs turpina nomest ransomware un izveido pakalpojumu sistēmā.
Tādējādi, bloķējot domēnu ar ugunsmūri vai nu ISP, vai uzņēmuma tīkla līmenī, ransomware turpinās izplatīt un šifrēt failus.
Tas bija tieši tas, kā drošības pētnieks faktiski pārtrauca WannaCry Ransomware uzliesmojumu! Šis pētnieks uzskata, ka šīs domēna pārbaudes mērķis bija ransomware, lai pārbaudītu, vai tā tiek palaista Sandbox. Tomēr cits drošības pētnieks uzskatīja, ka domēna pārbaude nav saistīta ar proxy.
Kad Executed, WannaCrypt izveido šādas reģistra atslēgas:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ tasksche.exe" - HKLM SOFTWARE WanaCrypt0r wd = "
”
Tas maina fona attēlu izlaides ziņojumam, modificējot šādu reģistra atslēgu:
HKCU Vadības panelis Desktop Tapetes: " @ WanaDecryptor @.bmp"
Sākas ar atlaidi, kas prasīta pret atšifrēšanas atslēgu $ 300 Bitcoin kas palielinās pēc ik pēc pāris stundām.
WannaCrypt inficētie failu paplašinājumi
WannaCrypt meklē visu datoru jebkuram failam ar kādu no šiem faila nosaukuma paplašinājumiem:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.oot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Pēc tam tas tiek pārdēvēts, pievienojot failam nosaukumu ".WNCRY"
WannaCrypt ir straujā izplatīšanas spēja
WannaCrypt tārpa funkcionalitāte ļauj inficēt nepiesakotos Windows datorus lokālajā tīklā. Tajā pašā laikā tā arī veic masveida interneta IP adrešu skenēšanu, lai atrastu un inficētu citus neaizsargātos datorus. Šī darbība rada lielus SMB datplūsmas datus no inficētās saimniekdatora, un to var viegli izsekot SecOps personālam.
Kad WannaCrypt veiksmīgi inficē neaizsargāto ierīci, tā to izmanto, lai apiņu inficētu citus datorus. Cikls turpinās, jo skenēšanas maršrutēšana atklāj nepasūtītus datorus.
Kā pasargāt no Wannacrypt
- Microsoft iesaka jaunināšana uz Windows 10 jo tas aprīkots ar jaunākajām funkcijām un proaktīvām mazinājumiem.
- Instalējiet drošības atjauninājums MS17-010 Microsoft atbrīvo. Uzņēmums ir arī izlaidis drošības ielāpus neatbalstāmām Windows versijām, piemēram, Windows XP, Windows Server 2003 utt.
- Windows lietotājiem ir ieteicams būt ārkārtīgi piesardzīgiem attiecībā uz pikšķerēšanas e-pastu, un tajā pašā laikā jābūt ļoti uzmanīgiem atverot e-pasta pielikumus vai noklikšķinot uz tīmekļa saitēm.
- Veidot dublējumkopijas un saglabājiet tos droši
- Windows Defender antivīruss atklāj šo draudu kā Izpirkšana: Win32 / WannaCrypt lai iespējotu, atjauninātu un palaistu Windows Defender Antivirus, lai noteiktu šo ransomware.
- Izmantojiet dažus Anti-WannaCry Ransomware rīki.
- EternalBlue neaizsargātības pārbaudītājs ir bezmaksas rīks, kas pārbauda, vai jūsu Windows dators ir neaizsargāts EternalBlue izmantošana.
- Atspējot SMB1 ar pasākumiem, kas dokumentēti vietnē KB2696547.
- Apsveriet noteikumu pievienošanu maršrutētājam vai ugunsmūrim bloķēt ienākošo SMB datplūsmu ostā 445
- Uzņēmējdarbības lietotāji var izmantot Ierīces aizsargs lai bloķētu ierīces un nodrošinātu kodola līmeņa virtualizācijas drošību, kas ļauj darboties tikai uzticamiem lietojumprogrammām.
Lai uzzinātu vairāk par šo tēmu, izlasiet Technet emuāru.
Šobrīd WannaCrypt var tikt pārtraukta, taču jūs varat sagaidīt, ka jaunāks variants vairāk satrauc, tādēļ palieciet droši un droši.
Microsoft Azure klienti var vēlēties izlasīt Microsoft ieteikumus par WannaCrypt Ransomware draudu novēršanu.
ATJAUNINĀT: WannaCry Ransomware atšifrētāji ir pieejami. Labvēlīgos apstākļos WannaKey un WanaKiwi, divi atšifrēšanas rīki var palīdzēt atšifrēt WannaCrypt vai WannaCry Ransomware šifrētos failus, izgūstot šifrēšanas atslēgu, ko izmanto ransomware.