Kas ir WannaCry ransomware, kā tas darbojas un kā saglabāt drošību

WannaCry Ransomware, pazīstami arī ar nosaukumiem WannaCrypt, WanaCrypt0r vai Wcrypt ir ransomware, kas vērsta uz Windows operētājsistēmām. Atklāts 12^th 2017. gada maijā WannaCrypt tika izmantots lielā kiberuzbrukumā, un kopš tā laika tas ir inficējis vairāk nekā 230 000 Windows personālo datoru 150 valstīs. tagad.

Kas ir WannaCry ransomware

Sākotnējie WannaCrypt rezultāti ir Lielbritānijas Nacionālais veselības dienests, Spānijas telekomunikāciju firma Telefónica un loģistikas firma FedEx. Tāda bija izpirkuma programmatūras kampaņa, kas izraisīja haosu visā Apvienotās Karalistes slimnīcās. Daudzi no viņiem bija jāaptur, izraisot operāciju slēgšanu īsā laikā, savukārt darbinieki bija spiesti izmantot pildspalvu un papīru darbam ar sistēmām, kuras bloķēja Ransomware.

Kā WannaCry ransomware nokļūst jūsu datorā

Kā redzams no pasaules uzbrukumiem, WannaCrypt vispirms iegūst piekļuvi datorsistēmai, izmantojot e-pasta pielikums un pēc tam var ātri izplatīties LAN. Ransomware var šifrēt jūsu sistēmas cieto disku un mēģina izmantot MVU ievainojamība izplatīties uz nejaušiem datoriem internetā, izmantojot TCP portu, un starp datoriem vienā tīklā.

Kas izveidoja WannaCry

Nav apstiprinātu ziņojumu par to, kurš ir izveidojis WannaCrypt, lai gan WanaCrypt0r 2.0 izskatās 2^nd tā autoru mēģinājums. Tās priekšgājējs Ransomware WeCry tika atklāts šī gada februārī un pieprasīja 0.1 Bitcoin atbloķēšanai.

Pašlaik tiek ziņots, ka uzbrucēji izmanto Microsoft Windows exploit Mūžīgais zils kuru it kā izveidoja NSA. Tiek ziņots, ka šos rīkus nozaga un nopludināja grupa, kuru sauca Ēnu brokeri.

Kā WannaCry izplatās

Šī Ransomware izplatās, izmantojot ievainojamību Server Message Block (SMB) ieviešanā Windows sistēmās. Šī izmantošana tiek nosaukta kā Mūžīgi zils kuru, kā ziņots, grupa, kuru sauca, nozaga un izmantoja nepareizi Ēnu brokeri.

Interesanti, Mūžīgi zils ir uzlaušanas ierocis, ko NSA izstrādājis, lai piekļūtu datoriem, kuros darbojas Microsoft Windows, un komandētu tos. Tas bija īpaši paredzēts Amerikas militārās izlūkošanas vienībai, lai piekļūtu teroristu izmantotajiem datoriem.

WannaCrypt izveido ievadīšanas vektoru mašīnās, kuras joprojām nav atjaunotas pat pēc tam, kad labojums bija pieejams. WannaCrypt mērķauditorija ir visas Windows versijas, kuras netika ielāpītas MS-17-010, kuru Microsoft 2017. gada martā izlaida operētājsistēmām Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 un Windows Server 2016.

Kopējais infekcijas modelis ietver:

• Ierašanās, izmantojot sociālās inženierijas e-pastus, kuru mērķis ir maldināt lietotājus palaist ļaunprogrammatūru un aktivizēt tārpu izplatīšanas funkcionalitāti, izmantojot SMB. Pārskatos teikts, ka ļaunprātīgā programmatūra tiek piegādāta inficēto Microsoft Word failu kas tiek nosūtīts e-pastā, slēpts kā darba piedāvājums, rēķins vai cits atbilstošs dokuments.
• Infekcija, izmantojot SMB, tiek izmantota, ja neizlabotu datoru var novērst citās inficētajās mašīnās

WannaCry ir Trojas pilinātājs

Eksponējot Trojan pilinātāja WannaCry īpašības, mēģina savienot domēnu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, izmantojot API InternetOpenUrlA ():

Tomēr, ja savienojums ir veiksmīgs, draudi vairs neinficē sistēmu ar izpirkuma programmatūru vai mēģina izmantot citas sistēmas, lai izplatītos; tas vienkārši aptur izpildi. Tikai tad, kad savienojums neizdodas, pilinātājs turpina nomest ransomware un sistēmā izveido pakalpojumu.

Tādējādi, bloķējot domēnu ar ugunsmūri vai nu ISP, vai uzņēmuma tīkla līmenī, Ransomware turpinās izplatīt un šifrēt failus.

Tieši tā drošības pētnieks faktiski apturēja WannaCry Ransomware uzliesmojumu! Šis pētnieks uzskata, ka šīs domēna pārbaudes mērķis bija izpirkuma programmatūra, lai pārbaudītu, vai tā darbojas Sandbox. Tomēr kāds cits drošības pētnieks uzskatīja, ka domēna pārbaude nav informēta par starpniekserveri.

Izpildot, WannaCrypt izveido šādas reģistra atslēgas:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ taskche.exe ”
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = "”

Tas maina fona attēlu uz izpirkuma ziņojumu, modificējot šādu reģistra atslēgu:

• HKCU \ Control Panel \ Desktop \ Wallpaper: “\ @ [e-pasts aizsargāts] ”

Atšifrēšanas atslēgai pieprasītā izpirkuma maksa sākas ar 300 USD Bitcoin kas palielinās ik pēc dažām stundām.

Failu paplašinājumi, kas inficēti ar WannaCrypt

WannaCrypt visā datorā meklē jebkuru failu ar jebkuru no šiem failu nosaukumu paplašinājumiem: .123. lpp, .JPEG , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .taustiņu , .sldm , .3g2 , .gulēja , .sldm , .3gp , .gulēt6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .kvl , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .vidū , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .dublējums , .mp3 , .suo , .bak , .mp4 , .svg , .sikspārnis , .MPEG , .swf , .bmp , .mpg , .sxc , .brd , .ziņojums , .sxd , .bz2 , .Myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .klasē , .nepāra , .darva , .cmd , .savādāk , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .nepāra , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .12. lpp , .vdi , .iemērc , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .punkts , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .1. nedēļa , .dwg , .katls , .ned , .edb , .potm , .wma , .piem , .potks , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .burka , .rar , .zip , .java , .neapstrādāts

Tad tā tos pārdēvē, pievienojot “.WNCRY ”faila nosaukumam

WannaCry spēj ātri izplatīties

WannaCry tārpu funkcionalitāte ļauj inficēt lokalizētajā tīklā neinstalētās Windows mašīnas. Tajā pašā laikā tā arī veic masveida skenēšanu uz interneta IP adresēm, lai atrastu un inficētu citus neaizsargātus datorus. Šīs darbības rezultātā tiek iegūti lieli SMB trafika dati no inficētā resursdatora, un SecOps personāls tos var viegli izsekot.

Kad WannaCry ir veiksmīgi inficējusi neaizsargātu mašīnu, tā to izmanto, lai inficētu citus datorus. Cikls turpinās tālāk, jo skenēšanas maršrutēšana atklāj nenoslogotus datorus.

Kā pasargāt no WannaCry

1. Microsoft iesaka jaunināšana uz Windows 10 jo tas ir aprīkots ar jaunākajām funkcijām un proaktīviem mazinājumiem.
2. Instalējiet drošības atjauninājums MS17-010 izlaida Microsoft. Uzņēmums ir izlaidis arī drošības ielāpus neatbalstītām Windows versijām, piemēram, Windows XP, Windows Server 2003 utt.
3. Windows lietotājiem ieteicams būt ļoti piesardzīgiem pret pikšķerēšanas e-pastu un būt ļoti uzmanīgiem atverot e-pasta pielikumus vai noklikšķinot uz tīmekļa saitēm.
4. Veidot dublējumkopijas un droši turiet tos
5. Windows Defender antivīruss atklāj šos draudus kā Ransom: Win32 / WannaCrypt tāpēc iespējojiet un atjauniniet un palaidiet Windows Defender Antivirus, lai noteiktu šo izpirkuma programmatūru.
6. Izmantojiet dažus Anti-WannaCry Ransomware Tools.
7. EternalBlue ievainojamības pārbaudītājs ir bezmaksas rīks, kas pārbauda, ​​vai jūsu Windows dators ir neaizsargāts EternalBlue izmantot.
8. Atspējot SMB1 ar darbībām, kas dokumentētas vietnē KB2696547.
9. Apsveriet kārtulas pievienošanu maršrutētājam vai ugunsmūrim bloķēt ienākošo SMB trafiku 445. ostā
10. Uzņēmuma lietotāji var izmantot Ierīces apsardze bloķēt ierīces un nodrošināt kodola līmeņa uz virtualizāciju balstītu drošību, ļaujot darboties tikai uzticamām lietojumprogrammām.

Lai uzzinātu vairāk par šo tēmu, izlasiet emuāru Technet.

Iespējams, ka WannaCrypt pagaidām ir pārtraukta, taču jūs varat sagaidīt, ka jaunāks variants sāks dusmīgāk, tāpēc esiet drošs un drošs.

Microsoft Azure klienti varētu vēlēties izlasīt Microsoft padomus par to, kā novērst WannaCrypt Ransomware Threat.

ATJAUNINĀT: Ir pieejami WannaCry Ransomware atšifrētāji. Labvēlīgos apstākļos, WannaKey un WanaKiwi, divi atšifrēšanas rīki var palīdzēt atšifrēt WannaCrypt vai WannaCry Ransomware šifrētus failus, izgūstot šifrēšanas atslēgu, kuru izmanto izpirkumprogrammatūra.