WannaCrypt Ransomware, taip pat žinomas pavadinimais "WannaCry", "WanaCrypt0r" arba "Wcrypt" yra "ransomware", skirta Windows operacinėms sistemoms. Atrasta 12 dth 2017 m. Gegužės mėn. "WannaCrypt" buvo naudojamas dideliame "Cyber Attack" ir nuo to laiko užsikrėtė daugiau nei 230 000 "Windows" kompiuterių 150 šalių. dabar
Kas yra WannaCrypt ransomware
Kaip WannaCrypt ransomware patenka į jūsų kompiuterį
Kaip matyti iš pasaulinių išpuolių, "WannaCrypt" pirmą kartą pasiekia prieigą prie kompiuterinės sistemos per elektroninio pašto priedas ir po to gali sparčiai plisti per LAN. Ransomware gali užšifruoti jūsų sistemos standųjį diską ir bando išnaudoti SMB pažeidžiamumas platinti į atsitiktinius kompiuterius internete TCP prievado ir tarp kompiuterių toje pačioje tinkle.
Kas sukūrė WannaCrypt
Nėra patvirtinto pranešimo apie tai, kas sukūrė "WannaCrypt", nors "WanaCrypt0r 2.0" atrodo kaip 2nd jo autorių bandymas. Jo pirmtakas, "Ransomware WeCry", buvo atrastas praėjusių metų vasarį ir pareikalavo 0,1 Bitcoin atrakinti.
Šiuo metu užpuolikai praneša, kad naudoja "Microsoft Windows" Amžinas mėlynas kurią tariamai sukūrė NSA. Pranešama, kad šios priemonės yra pavogtos ir sugadintos iš grupės Shadow brokeriai.
Kaip veikia WannaCrypt
Šis "Ransomware" plinta taikant "Server Message Block" (SMB) įdiegimo Windows sistemose pažeidžiamumą. Šis išnaudojimas vadinamas EternalBlue kuri, kaip pranešta, buvo pavogta ir piktnaudžiaujama grupės vardu Shadow brokeriai.
Įdomu, EternalBlue yra NSA sukurtas įsilaužimo ginklas, norint pasiekti ir valdyti kompiuterius, kuriuose veikia "Microsoft Windows". Jis buvo specialiai sukurtas Amerikos karinės žvalgybos padaliniui, siekiant gauti prieigą prie teroristų naudojamų kompiuterių.
"WannaCrypt" sukuria įvesties vektorių mašinose, kurios vis dar nebuvo atsiųstos net tada, kai pataisa tapo prieinama. "WannaCrypt" taiko visas "Windows" versijas, kurios nebuvo pakeistos MS-17-010, kurį "Microsoft" išleido "Windows Vista", "Windows Server 2008", "Windows 7", "Windows Server 2008 R2", "Windows 8.1", "Windows RT 8.1", "Windows Server 2012", "Windows Server 2012 R2", "Windows 10" ir "Windows Server 2016"
Bendras infekcijos modelis apima:
- Atvykimas per socialinės inžinerijos el. Laiškus, skirtas apgauti vartotojus paleisti kenkėjišką programinę įrangą ir suaktyvinti širdys plitimo funkciją, naudojant SMB. Ataskaitose teigiama, kad kenkėjiška programa pristatoma " užkrėstas "Microsoft Word" failas tai siunčiama elektroniniu paštu, paslėptu kaip darbo pasiūlymas, sąskaita faktūra ar kitas atitinkamas dokumentas.
- Infekcija naudojant SMB išnaudoja, kai nepatenuotą kompiuterį galima pašalinti kitose užkrėstose kompiuteriuose
WannaCrypt yra Trojos arklys
Išskleidžiant savybes, susijusias su lašintuvo Trojan, WannaCrypt, bandoma prisijungti prie domeno hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, naudodamiesi InternetOpenUrlA () API:
Tačiau, jei ryšys sėkmingas, grėsmė netrukdo sistemai papildomai naudotis ransomate arba bandyti išnaudoti kitas sistemas; tai tiesiog sustabdo vykdymą. Tik tada, kai ryšys nutrūksta, lašintuvas praleidžia "Ransomware" ir sukuria paslaugą sistemoje.
Taigi, užblokuojant domeną su ugniasiene tiek ISP, tiek įmonės tinklo lygiu, ransomaterialai bus toliau plinta ir šifruojami failai.
Būtent taip saugumo tyrėjas iš tikrųjų sustabdė "WannaCry Ransomware" protrūkį! Šis tyrėjas mano, kad šio domeno patikrinimo tikslas buvo atlikti ransomaterialą, kad patikrintų, ar jis buvo paleistas smėlio dėžėje. Tačiau dar vienas saugumo tyrėjas manė, kad domeno patikrinimas nėra žinomas proxy.
Kai vykdomas, WannaCrypt sukuria šiuos registro raktus:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ tasksche.exe" - HKLM SOFTWARE WanaCrypt0r wd = "
”
Pakeitus ekrano užsklandą, jis pakeičia šias registro raktą:
HKCU Valdymo skydas Desktop Fono paveikslėlis: " @ WanaDecryptor @.bmp"
Pradedamas prašymas išpirkti iššifravimo raktą $ 300 Bitcoin kuris didėja po kiekvienų kelių valandų.
WannaCrypt užkrėstų failų plėtiniai
WannaCrypt ieško viso kompiuterio bet kurio failo su bet kuriuo iš šių failų vardų plėtinių:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv, std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db, otg,.oot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Tada jie pervadina juos pridedant ".WNCRY" į failo pavadinimą
"WannaCrypt" turi greitą paskirstymo funkciją
"WannaCrypt" širdys funkcija leidžia užkrėsti nepatvirtintas "Windows" mašinas vietiniame tinkle. Tuo pačiu metu ji taip pat atlieka didžiulį nuskaitymą interneto IP adresuose, kad surastų ir užkrėstų kitus pažeidžiamus kompiuterius. Ši veikla sukelia didelius SMB srauto duomenis, gaunamus iš užkrėsto kompiuterio, ir jį gali lengvai sekti SecOps darbuotojai.
Kai WannaCrypt sėkmingai užkrečia pažeidžiamą mašiną, jis naudoja jį apeiti, kad užkrėstų kitus kompiuterius. Tęsiamas ciklas, nes nuskaitymo maršrutas atskleidžia nepatvirtintus kompiuterius.
Kaip apsisaugoti nuo Wannacrypt
- "Microsoft" rekomenduoja naujovinimas į "Windows 10" nes ji aprūpinta naujausiomis funkcijomis ir aktyviomis švelninimo priemonėmis.
- Įdiekite saugos naujinimas MS17-010 išleido "Microsoft". Bendrovė taip pat išleido saugumo pataisas nepalaikomoms "Windows" versijoms, tokioms kaip "Windows XP", "Windows Server 2003" ir tt
- "Windows" vartotojams patariama būti labai atsargiems dėl "Phishing" el. Pašto ir būti labai atsargiems atidaryti el. pašto priedus arba spustelėję žiniatinklio nuorodas.
- Padaryti atsargines kopijas ir saugiai laikykis
- " Windows Defender Antivirus" aptinka šią grėsmę kaip Ransom: Win32 / WannaCrypt taip įjunkite ir atnaujinkite bei paleiskite "Windows Defender Antivirus", kad aptiktumėte šią "ransomware".
- Pasinaudokite kai kuriais Anti-WannaCry Ransomware įrankiai.
- EternalBlue pažeidžiamumo tikrintojas yra nemokamas įrankis, kuris patikrina, ar jūsų "Windows" kompiuteris yra pažeidžiamas EternalBlue išnaudoti.
- Išjungti SMB1 su dokumentais, nurodytais KB2696547.
- Apsvarstykite galimybę pridėti taisyklę prie maršrutizatoriaus ar užkardos blokuoti gaunamą SMB srautą uoste 445
- Įmonių vartotojai gali naudotis Device Guard užrakinti įrenginius ir pateikti branduolio lygio virtualizacijos pagrįstą saugą, leidžiantį paleisti tik patikimas programas.
Norėdami sužinoti daugiau apie šią temą, perskaitykite "Technet" tinklaraštį.
"WannaCrypt" gali būti sustabdytas dabar, tačiau galite tikėtis, kad naujesnis variantas bus labiau įsiutę, todėl būkite saugus ir saugus.
"Microsoft Azure" vartotojai gali norėti perskaityti "Microsoft" patarimus, kaip išvengti "WannaCrypt Ransomware" grėsmės.
UPDATE: "WannaCry Ransomware" dekriptai yra prieinami. Esant palankioms sąlygoms, WannaKey ir WanaKiwi, du iššifravimo įrankiai gali padėti iššifruoti WannaCrypt arba WannaCry Ransomware užšifruotus failus, nuskaitant šifravimo raktą, kurį naudoja ransomware.