WannaCrypt Ransomware, joka tunnetaan myös nimillä WannaCry, WanaCrypt0r tai Wcrypt, joka on Windows-käyttöjärjestelmille tarkoitettu irrotusohjelma. Löydetty 12th Toukokuussa 2017 WannaCryptia käytettiin suuressa Cyber-hyökkäyksessä ja se on sittemmin infektoinut yli 230 000 Windows-tietokonetta 150 maassa. nyt.
Mikä on WannaCrypt ransomware
Miten WannaCrypt ransomware pääsee tietokoneeseen?
Kuten sen maailmanlaajuisista hyökkäyksistä ilmenee, WannaCrypt pääsee ensin tietokonejärjestelmään järjestelmän kautta sähköpostin liitetiedostona ja sen jälkeen se voi levitä nopeasti LAN. Ransomware voi salata järjestelmien kiintolevyn ja yrittää hyödyntää sitä SMB-heikkous leviää satunnaisiin tietokoneisiin Internetissä TCP-portin kautta ja saman verkon tietokoneiden välillä.
Kuka loi WannaCryptin
Ei ole vahvistettuja raportteja siitä, kuka on luonut WannaCrypt vaikka WanaCrypt0r 2.0 näyttää olevan 2ND kirjoittajien tekemä yritys. Sen edeltäjä, Ransomware WeCry, paljastui tämän vuoden helmikuussa ja vaati 0.1 Bitcoinia lukituksen avaamiseksi.
Tällä hetkellä hyökkääjät raportoidaan käyttävän Microsoft Windows exploit Eternal Blue joka kansallisen turvallisuusviranomaisen väitetysti laati. Nämä työkalut on raportoitu varastetuksi ja vuotanut ryhmä kutsutaan Shadow Brokers.
Miten WannaCrypt levitetään
Tämä Ransomware leviää käyttämällä haavoittuvuutta Server Message Block (SMB) -versioissa Windows-järjestelmissä. Tämä hyödyntäminen on nimetty nimellä EternalBlue joka oli kuulemma varastettu ja väärin käyttänyt kutsuttu ryhmä Shadow Brokers.
Mielenkiintoista, EternalBlue on NSA: n kehittämä hakkerointiase, jolla pääsee käsiksi ja käsketään tietokoneita, joissa on Microsoft Windows. Se oli suunniteltu nimenomaan Amerikan armeijan tiedusteluyksikölle pääsemästä terroristien käyttämiin tietokoneisiin.
WannaCrypt luo tulovektorin koneet, jotka ovat edelleen tyhjillään, vaikka korjaus olisi tullut saataville. WannaCrypt kohdistaa kaikkiin Windows-versioihin, joita ei ole korjattu MS-17-010, jonka Microsoft julkaisi maaliskuussa 2017 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 ja Windows Server 2016.
Yleinen infektiokuvio sisältää:
- Saapuessasi sosiaalisen suunnittelun sähköposteihin, joiden avulla käyttäjät voivat käyttää haittaohjelmia ja aktivoida matoja levittävät toiminnot SMB: n hyödyntämisellä. Raportit kertovat, että haittaohjelma toimitetaan tartunnan saaneesta Microsoft Word -tiedostosta joka lähetetään sähköpostissa, naamioitu työpaikkana, laskuna tai muussa asiaankuuluvassa asiakirjassa.
- Infektio SMB: n kautta hyödyntää, kun epäkelvottomia tietokoneita voidaan käsitellä muissa tartunnan saaneissa koneissa
WannaCrypt on troijalainen dropper
WannaCryptin dropperion, joka yrittää muodostaa verkkotunnuksen, näyttää ominaisuuksia hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, käyttäen API InternetOpenUrlA ():
Kuitenkin, jos yhteys onnistuu, uhka ei tartuta järjestelmää edelleen irrotusohjelmalla tai yrittää hyödyntää muita levitettäviä järjestelmiä; se vain pysäyttää suorituksen. Ainoastaan silloin, kun yhteys epäonnistuu, tiputuslaite jatkaa irrottautumista ja luo palvelun järjestelmään.
Näin verkkotunnuksen estäminen palomuurilla joko ISP: ssä tai yrityksen verkkotasolla aiheuttaa ransomware jatkaa leviämistä ja tiedostojen salaamista.
Tämä oli täsmälleen se, miten tietoturva tutkija lopetti WannaCry Ransomwaren puhkeamisen! Tämä tutkija katsoo, että tämän verkkotunnuksen tarkistuksen tavoitteena oli, että irrotusohjelma tarkisti, toimiiko se Sandboxissa. Toinen turvallisuustutkija katsoi kuitenkin, että verkkotunnuksen tarkistus ei ole välityspalvelinta.
Kun suoritettu, WannaCrypt luo seuraavat rekisteriavaimet:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = "
”
Se muuttaa taustakuvaa lunastusviestiksi muuttamalla seuraavaa rekisteriavainta:
HKCU Ohjauspaneeli Desktop Taustakuva: " @ WanaDecryptor @ bmp”
Lunastuspyynnön vastaanotettu lunnautus alkaa 300 dollaria Bitcoin joka kasvaa muutaman tunnin välein.
WannaCryptin tartunnan saaneet tiedostopäätteet
WannaCrypt hakee koko tietokonetta mille tahansa tiedostolle, jolla on jokin seuraavista tiedostonimen laajennuksista:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Sen jälkeen ne nimetään uudelleen lisäämällä tiedostonimi ".WNCRY"
WannaCryptilla on nopea leviämiskyky
WannaCryptin mato-toiminnallisuus mahdollistaa sen, että se tartuttaa epäpuhtaat Windows-koneet paikallisverkossa. Samalla se myös suorittaa massiivisen skannauksen Internet-IP-osoitteissa etsimään ja tartuttamaan muita haavoittuvaisia tietokoneita. Tämä toiminta johtaa suurista SMB-liikennetietoihin tartunnan saaneesta isännästä, ja SecOps-henkilöstö voi helposti seurata sitä.
Kun WannaCrypt onnistuneesti tarttuu haavoittuvaan koneeseen, se käyttää sitä hopin tartuttamaan muita tietokoneita. Sykli jatkuu edelleen, koska skannaus reitityksessä havaitsee tyhjämättömät tietokoneet.
Miten suojata Wannacryptiltä?
- Microsoft suosittelee päivitys Windows 10: een sillä se on varustettu uusimmilla ominaisuuksilla ja ennakoivilla lievennyksillä.
- Asenna tietoturvapäivitys MS17-010 julkaistiin Microsoft. Yhtiö on myös julkaissut tietoturvakorjaukset, joita ei tueta Windows-versiot, kuten Windows XP, Windows Server 2003 jne.
- Windows-käyttäjiä kehotetaan olemaan erittäin varovaisia tietojenkalastelusähköposteista ja olemaan varovainen sähköpostin liitteiden avaaminen tai klikkaamalla web-linkkejä.
- Tehdä varmuuskopiot ja pitää ne turvallisesti
- Windows Defender Antivirus tunnistaa tämän uhkan niin Ransom: Win32 / WannaCrypt joten ota käyttöön ja päivitä ja suorita Windows Defender Antivirus tunnistamaan tämä irrotusohjelma.
- Käytä joitain Anti-WannaCry Ransomware -työkalut.
- EternalBlue-heikkousvakuutus on ilmainen työkalu, joka tarkistaa, onko Windows-tietokoneesi altis EternalBlue hyödyntää.
- Poista SMB1 käytöstä vaiheilla, jotka on dokumentoitu julkaisussa KB2696547.
- Harkitse säännön lisäämistä reitittimeesi tai palomuuriisi estää saapuvan SMB-liikenteen porttiin 445
- Yrityksen käyttäjät voivat käyttää Laitevahti lukitsemaan laitteita ja tarjoamaan ytimen tason virtualisointiin perustuvaa suojausta, jolloin vain luotettavat sovellukset toimivat.
Lisätietoja tästä aiheesta lue Technet-blogi.
WannaCrypt on ehkä pysähtynyt nyt, mutta saatat odottaa uudempaa versiota iskeempaa, joten pysy turvallisena ja turvallisena.
Microsoft Azure -asiakkaat saattavat haluta lukea Microsoftin neuvoja WannaCryptin Ransomware-uhkan torjumisesta.
PÄIVITTÄÄ: WannaCry Ransomware Decryptors ovat käytettävissä. Suotuisissa olosuhteissa, WannaKey ja WanaKiwi, kaksi salauksen purkuohjelmistoa voivat auttaa purkamaan WannaCryptin tai WannaCry Ransomware -tiedoston haetut tiedostot etsimällä ransomware-salausavaimen.
