Čo je ransomvér WannaCry, ako to funguje a ako zostať v bezpečí

WannaCry Ransomware, tiež známy pod menom WannaCrypt, WanaCrypt0r alebo Wcrypt je ransomvér zameraný na operačné systémy Windows. Objavené 12. decembra^th V máji 2017 bol program WannaCrypt použitý pri rozsiahlom kybernetickom útoku a odvtedy infikoval viac ako 230 000 počítačov s Windows v 150 krajinách. teraz.

Čo je ransomvér WannaCry

Počiatočné zásahy WannaCrypt zahŕňajú britskú Národnú zdravotnú službu, španielsku telekomunikačnú spoločnosť Telefónica a logistickú spoločnosť FedEx. Kampaň zameraná na ransomvér bola taká rozsiahla, že spôsobila chaos v nemocniciach vo Veľkej Británii. Mnoho z nich muselo byť v krátkom čase odstavených, aby sa spustilo ukončenie prevádzky, zatiaľ čo zamestnanci boli nútení na prácu používať pero a papier so systémami uzamknutými pomocou Ransomware.

Ako sa ransomvér WannaCry dostane do vášho počítača

Ako je zrejmé z jeho celosvetových útokov, WannaCrypt najskôr získa prístup k počítačovému systému prostredníctvom servera emailová príloha a potom sa môže rýchlo šíriť LAN. Ransomvér dokáže zašifrovať pevný disk vašich systémov a pokúša sa zneužiť Zraniteľnosť SMB šíriť do náhodných počítačov na internete cez port TCP a medzi počítačmi v rovnakej sieti.

Kto vytvoril WannaCry

Neexistujú žiadne potvrdené správy o tom, kto vytvoril WannaCrypt, hoci WanaCrypt0r 2.0 vyzerá ako 2^nd pokus jej autorov. Jeho predchodca, Ransomware WeCry, bol objavený už vo februári tohto roku a požadoval 0.1 bitcoin na odblokovanie.

V súčasnosti útočníci údajne využívajú exploitáciu systému Microsoft Windows Večná modrá ktorú údajne vytvoril NSA. Tieto nástroje boli údajne odcudzené a unikli skupine s názvom Shadow Brokers.

Ako sa šíri WannaCry

Tento Ransomware sa šíri pomocou zraniteľnosti pri implementácii Server Message Block (SMB) v systémoch Windows. Tento exploit je pomenovaný ako EternalBlue ktorý bol údajne odcudzený a zneužitý tzv Shadow Brokers.

Zaujímavé, EternalBlue je hackerská zbraň vyvinutá NSA na získanie prístupu a velenie počítačom so systémom Microsoft Windows. Bol špeciálne navrhnutý pre americkú vojenskú spravodajskú jednotku s cieľom získať prístup k počítačom, ktoré používajú teroristi.

WannaCrypt vytvára vstupný vektor v strojoch, ktoré ešte neboli opravené ani po sprístupnení opravy. WannaCrypt sa zameriava na všetky verzie systému Windows, ktoré neboli opravené MS-17-010, ktorú spoločnosť Microsoft vydala v marci 2017 pre systémy Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 a Windows Server 2016.

Medzi bežné vzorce infekcie patria:

• Príchod prostredníctvom e-mailov sociálneho inžinierstva určených na oklamanie používateľov, aby spustili škodlivý softvér a aktivovali funkčnosť šírenia červov pomocou funkcie SMB exploit. Správy hovoria, že malware sa dodáva v infikovaný súbor Microsoft Word ktorá sa posiela v e-maile maskovaná ako pracovná ponuka, faktúra alebo iný relevantný dokument.
• Infekcia prostredníctvom SMB sa zneužíva, keď je možné opraviť nespracovaný počítač na iných infikovaných počítačoch

WannaCry je trójsky kôň

WannaCry, ktorý sa vyznačuje vlastnosťou trójskeho koňa s kvapkadlom, sa pokúša pripojiť doménu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] kom, pomocou API InternetOpenUrlA ():

Ak je však pripojenie úspešné, hrozba neinfikuje systém ďalej ransomwarom ani sa nepokúša rozšíriť ďalšie systémy; jednoducho zastaví vykonávanie. Iba vtedy, keď pripojenie zlyhá, kvapkadlo pristúpi k zrušeniu ransomvéru a vytvorí službu v systéme.

Blokovanie domény bránou firewall na úrovni ISP alebo podnikovej siete preto spôsobí, že ransomvér bude pokračovať v šírení a šifrovaní súborov.

Presne týmto spôsobom bezpečnostný výskumník skutočne zastavil prepuknutie vírusu WannaCry Ransomware! Tento výskumník sa domnieva, že cieľom tejto kontroly domény bolo, aby ransomvér skontroloval, či bola spustená v karanténe Sandbox. Iný výskumník v oblasti bezpečnosti však mal pocit, že kontrola domény nie je podporovaná serverom proxy.

Po spustení vytvorí WannaCrypt nasledujúce kľúče registra:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ tasksche.exe"
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = ““

Zmení tapetu na výkupnú správu úpravou nasledujúceho kľúča databázy Registry:

• HKCU \ Ovládací panel \ Desktop \ Tapety: “\ @ [chránené e-mailom] “

Výkupné požadované proti dešifrovaciemu kľúču začína 300 dolárov v bitcoinoch ktorá sa zvyšuje po každých niekoľkých hodinách.

Prípony súborov infikované WannaCrypt

WannaCrypt vyhľadáva v celom počítači akýkoľvek súbor s niektorou z nasledujúcich prípon názvu súboru: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .š , .3ds , .kľúč , .sldm , .3g2 , .ležať , .sldm , .3gp , .položiť6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .štvorcový , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .stredná , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .záloha , .mp3 , .suo , .bak , .mp4 , .svg , .netopier , .MPEG , .swf , .bmp , .mpg , .sxc , .brd , .správa , .sxd , .bz2 , .môj D , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .trieda , .odb , .decht , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .CSR , .onetoc2 , .TXT , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .rozdiel , .p12 , .vdi , .ponor , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .bodka , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .týždeň , .dwg , .hrniec , .týžd , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .izo , .pst , .xlw , .jar , .rar , .PSČ , .java , .surový

Potom ich premenuje pridaním „.WNCRY ”na názov súboru

WannaCry má schopnosť rýchleho šírenia

Funkčnosť červa vo WannaCry mu umožňuje infikovať neopravené počítače so systémom Windows v miestnej sieti. Zároveň tiež vykonáva rozsiahle skenovanie na internetových adresách IP, pomocou ktorého vyhľadáva a infikuje ďalšie zraniteľné počítače. Výsledkom tejto aktivity sú veľké prevádzkové údaje SMB pochádzajúce z infikovaného hostiteľa a personál SecOps ich môže ľahko sledovať.

Akonáhle WannaCry úspešne infikuje zraniteľný počítač, použije ho na infikovanie ďalších počítačov. Cyklus ďalej pokračuje, pretože smerovanie skenovania objavuje neopravené počítače.

Ako sa chrániť pred WannaCry

1. Spoločnosť Microsoft odporúča upgrade na Windows 10 pretože je vybavený najnovšími funkciami a proaktívnym zmierňovaním.
2. Nainštalujte aktualizácia zabezpečenia MS17-010 vydané spoločnosťou Microsoft. Spoločnosť tiež vydala bezpečnostné záplaty pre nepodporované verzie systému Windows, ako sú Windows XP, Windows Server 2003 atď.
3. Používateľom systému Windows sa odporúča, aby si pred phishingovými e-mailmi dávali veľký pozor a boli pri tom veľmi opatrní otvorenie príloh e-mailov alebo kliknutím na webové odkazy.
4. Urobiť zálohy a bezpečne ich uschovajte
5. Windows Defender Antivirus detekuje túto hrozbu ako Výkupné: Win32 / WannaCrypt preto na detekciu tohto ransomvéru povoľte a aktualizujte a spustite program Windows Defender Antivirus.
6. Využite niektoré Anti-WannaCry Ransomware nástroje.
7. Kontrola zraniteľnosti EternalBlue je bezplatný nástroj, ktorý kontroluje, či je váš počítač so systémom Windows zraniteľný Využitie EternalBlue.
8. Zakázať SMB1 s krokmi zdokumentovanými v KB2696547.
9. Zvážte pridanie pravidla na smerovač alebo bránu firewall do blokovať prichádzajúci prenos SMB na porte 445
10. Podnikoví používatelia môžu používať Device Guard uzamknúť zariadenia a poskytnúť zabezpečenie na úrovni jadra založené na virtualizácii, čo umožní spustenie iba dôveryhodných aplikácií.

Ak sa chcete dozvedieť viac informácií o tejto téme, prečítajte si blog Technet.

WannaCrypt môže byť nateraz zastavený, ale môžete čakať, že novší variant zasiahne zúrivejšie, takže buďte v bezpečí.

Zákazníci využívajúci Microsoft Azure si môžu prečítať rady spoločnosti Microsoft, ako odvrátiť WannaCrypt Ransomware Threat.

AKTUALIZÁCIA: WannaCry Ransomware Decryptors sú k dispozícii. Za priaznivých podmienok, WannaKey a WanaKiwi, dva dešifrovacie nástroje môžu pomôcť dešifrovať šifrované súbory WannaCrypt alebo WannaCry Ransomware načítaním šifrovacieho kľúča použitého ransomwarom.