Hvad er WannaCrypt ransomware, hvordan virker det og hvordan man holder sig trygge

Indholdsfortegnelse:

Video: Hvad er WannaCrypt ransomware, hvordan virker det og hvordan man holder sig trygge

Video: Hvad er WannaCrypt ransomware, hvordan virker det og hvordan man holder sig trygge
Video: 🟡 POCO X5 PRO - САМЫЙ ДЕТАЛЬНЫЙ ОБЗОР и ТЕСТЫ 2024, Marts
Hvad er WannaCrypt ransomware, hvordan virker det og hvordan man holder sig trygge
Hvad er WannaCrypt ransomware, hvordan virker det og hvordan man holder sig trygge
Anonim

WannaCrypt Ransomware, også kendt af navnene WannaCry, WanaCrypt0r eller Wcrypt er en ransomware, der er rettet mod Windows-operativsystemer. Opdaget kl 12th I maj 2017 blev WannaCrypt brugt i et stort cyberangreb og har siden inficeret mere end 230.000 Windows-pc'er i 150 lande. nu.

Hvad er WannaCrypt ransomware

WannaCrypt's første hits omfatter Storbritanniens National Health Service, det spanske teleselskab Telefónica og logistikfirmaet FedEx. Sådan var omfanget af ransomware-kampagnen, at det forårsagede kaos på tværs af hospitaler i Det Forenede Kongerige. Mange af dem var nødt til at blive lukket ned og udløse operationer lukning med kort varsel, mens personalet blev tvunget til at bruge pen og papir til deres arbejde med systemer låst af Ransomware.
WannaCrypt's første hits omfatter Storbritanniens National Health Service, det spanske teleselskab Telefónica og logistikfirmaet FedEx. Sådan var omfanget af ransomware-kampagnen, at det forårsagede kaos på tværs af hospitaler i Det Forenede Kongerige. Mange af dem var nødt til at blive lukket ned og udløse operationer lukning med kort varsel, mens personalet blev tvunget til at bruge pen og papir til deres arbejde med systemer låst af Ransomware.

Hvordan kommer WannaCrypt ransomware ind i din computer

Som det fremgår af sine verdensomspændende angreb, får WannaCrypt først adgang til computersystemet via en email vedhæftning og derefter spredes hurtigt igennem LAN. Ransomware kan kryptere din system harddisk og forsøger at udnytte SMB sårbarhed at sprede sig til tilfældige computere på internettet via TCP port og mellem computere på samme netværk.

Hvem skabte WannaCrypt

Der er ingen bekræftede rapporter om, hvem der har oprettet WannaCrypt, selvom WanaCrypt0r 2.0 ser ud til at være 2nd forsøg foretaget af dets forfattere. Dets forgænger, Ransomware WeCry, blev opdaget tilbage i februar i år og krævede 0,1 Bitcoin til oplåsning.

I øjeblikket anvender angriberne Microsoft Windows-udnyttelse Evig blå som angiveligt blev oprettet af NSA. Disse værktøjer er efter sigende blevet stjålet og lækket af en gruppe kaldet Shadow Brokers.

Hvordan spredes WannaCrypt

Denne Ransomware spredes ved at bruge en sårbarhed i implementeringer af Server Message Block (SMB) i Windows-systemer. Denne udnyttelse hedder som EternalBlue som angiveligt blev stjålet og misbrugt af en gruppe kaldet Shadow Brokers.

Interessant, EternalBlue er et hacking våben udviklet af NSA for at få adgang og kommando de computere, der kører Microsoft Windows. Det var specielt designet til Amerika's militære efterretningsenhed for at få adgang til de computere, som terroristerne bruger.

WannaCrypt opretter en indtastningsvektor i maskiner, der stadig er updateret, selv efter at løsningen var blevet tilgængelig. WannaCrypt retter sig mod alle Windows-versioner, der ikke blev patched til MS-17-010, som Microsoft udgav i marts 2017 til Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 og Windows Server 2016.

Det fælles infektionsmønster omfatter:

  • Ankomst via sociale ingeniør e-mails designet til at narre brugere til at køre malware og aktivere worm-spreading funktionalitet med SMB udnyttelse. Rapporter siger, at malware bliver leveret i en inficeret Microsoft Word-fil der sendes i en email, skjult som et jobtilbud, en faktura eller et andet relevant dokument.
  • Infektion gennem SMB udnytter, når en unpatched computer kan adresseres i andre inficerede maskiner

WannaCrypt er en trojansk dråber

Udviser egenskaber som en dropper Trojan, WannaCrypt, forsøger at forbinde domænet hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.], ved hjælp af API InternetOpenUrlA ():

Men hvis forbindelsen er vellykket, inficerer ikke truslen systemet yderligere med ransomware eller forsøger at udnytte andre systemer til at sprede sig; det stopper blot udførelsen. Det er først, når forbindelsen fejler, fortsætter droppen med at droppe ransomware og opretter en tjeneste på systemet.

Derfor vil blokering af domænet med firewall enten på internetudbyder eller virksomhedsnetværksniveau føre til, at ransomware fortsætter med at sprede og kryptere filer.

Dette var præcis, hvordan en sikkerhedsforsker rent faktisk stoppede WannaCry Ransomware udbruddet! Denne forsker mener, at målet med denne domænekontrol var, at ransomware skulle kontrollere, om det blev kørt i en sandkasse. En anden sikkerhedsforsker følte dog, at domænenavnet ikke er proxy-bevidst.

Når udføres, opretter WannaCrypt følgende registreringsnøgler:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Run = “ Tasksche.exe”
  • HKLM SOFTWARE WanaCrypt0r wd = "

Det ændrer tapetet til en løsepengebesked ved at ændre den følgende registreringsdatabasenøgle:

Image
Image

HKCU Kontrolpanel Desktop Tapet: " @ WanaDecryptor @.bmp”

Løsenummet bedt om dekrypteringsnøglen begynder med $ 300 Bitcoin som stiger efter hvert par timer.

Filforlængelser inficeret af WannaCrypt

WannaCrypt søger hele computeren for en fil med en af følgende filnavneudvidelser:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.xx,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.xw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,..ot,,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Det omdøber dem derefter ved at tilføje ".WNCRY" til filnavnet

WannaCrypt har hurtig spredningskapacitet

Ormen funktionalitet i WannaCrypt tillader det at inficere unpatched Windows-maskiner i det lokale netværk. Samtidig udfører den også massiv scanning på Internet IP-adresser for at finde og inficere andre sårbare pc'er. Denne aktivitet resulterer i store SMB-trafikdata, der kommer fra den inficerede vært, og kan let spores af SecOps-personale.

Når WannaCrypt succesfuldt inficerer en sårbar maskine, bruger den den til at hoppe på at inficere andre pc'er. Cyklusen fortsætter videre, da scanningsrutingen opdager upakket computere.

Sådan beskytter du mod Wannacrypt

  1. Microsoft anbefaler opgradering til Windows 10 som den er udstyret med nyeste funktioner og proaktive afbødninger.
  2. Installer sikkerhedsopdatering MS17-010 udgivet af Microsoft. Virksomheden har også udgivet sikkerhedsrettelser til ikke-understøttede Windows-versioner som Windows XP, Windows Server 2003 osv.
  3. Windows-brugere rådes til at være yderst forsigtige med phishing-e-mail og være meget forsigtige mens Åbn e-mail-bilagene eller klikke på web-links.
  4. Lave sikkerhedskopier og hold dem sikkert
  5. Windows Defender Antivirus opdager denne trussel som Ransom: Win32 / WannaCrypt så aktiver og opdater og kør Windows Defender Antivirus for at registrere denne ransomware.
  6. Benyt nogle Anti-WannaCry Ransomware Tools.
  7. EternalBlue Sårbarhed Checker er et gratis værktøj, der kontrollerer, om din Windows-computer er sårbar overfor EternalBlue udnytte.
  8. Deaktiver SMB1 med de trin, der er dokumenteret på KB2696547.
  9. Overvej at tilføje en regel på din router eller firewall til blokere indgående SMB-trafik på port 445
  10. Virksomhedsbrugere kan bruge Enhedsvagt at låse enheder ned og tilvejebringe virtualiseringsbaseret sikkerhed på kerneliveau, hvilket gør det kun muligt for betroede applikationer at køre.

For at vide mere om dette emne læs Technet bloggen.

WannaCrypt kan være blevet stoppet for nu, men du kan forvente en nyere variant til at slå mere rasende, så hold dig sikker.

Microsoft Azure-kunder vil muligvis gerne læse Microsofts råd om, hvordan man undgår WannaCrypt Ransomware Threat.

UPDATE: WannaCry Ransomware Decryptors er tilgængelige. Under gunstige forhold, Wannakey og WanaKiwi, kan to dekrypteringsværktøjer hjælpe med at dekryptere WannaCrypt- eller WannaCry Ransomware-krypterede filer ved at hente den krypteringsnøgle, der bruges af ransomware.

Anbefalede: