WannaCrypt Ransomware, известен също и с имената WannaCry, WanaCrypt0r или Wcrypt, е ransomware, който е насочен към операционните системи Windows. Открит на 12тата Май 2017 г., WannaCrypt е използван в голяма Cyber-атака и оттогава е заразил повече от 230 000 компютъра с Windows в 150 страни. сега.
Какво е WannaCrypt ransomware
Как се появи WannaCrypt ransomware на вашия компютър
Както е видно от световните си атаки, WannaCrypt придобива първо достъп до компютърната система чрез прикачен файл и след това може бързо да се разпространи LAN, Ransomware може да шифрова системния твърд диск и да се опита да използва Уязвимост на SMB да се разпространява на произволни компютри в Интернет чрез TCP порт и между компютри в същата мрежа.
Кой създаде WannaCrypt
Няма потвърдени съобщения за това кой е създал WannaCrypt, въпреки че WanaCrypt0r 2.0 изглежда е 2-рари опит на нейните автори. Предшественикът му, Ransomware WeCry, бе открит през февруари тази година и поиска 0.1 Bitcoin за отключване.
Понастоящем атакуващите са използвали Microsoft Windows exploit Вечно синьо която се твърди, че е създадена от NSA. Тези инструменти са били откраднати и изтекли от група, наречена Shadow Brokers.
Как се разпространява WannaCrypt
Този Ransomware се разпространява, като използва уязвимост при внедряването на Server Message Block (SMB) в системите на Windows. Това злоупотреба се нарича EternalBlue който според съобщенията е бил откраднат и злоупотребяван от група, наречена Shadow Brokers.
Интересното е, че EternalBlue е хакерско оръжие, разработено от NSA, за да получи достъп и да командва компютрите, работещи под Microsoft Windows. Тя е специално създадена за американското военно разузнаване, за да получи достъп до компютрите, използвани от терористите.
WannaCrypt създава вектор за влизане в машини, които все още не са пакетирани, дори и след като фиксирането стане на разположение. WannaCrypt е насочена към всички версии на Windows, за които не са били инсталирани корекции MS-17-010, която Microsoft пуска през март 2017 г. за Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 и Windows Server 2016.
Общият модел на инфекция включва:
- Пристигане чрез имейли за социално инженерство, предназначени да измамят потребителите, за да стартират злонамерения софтуер и да активират функцията за разпространение на червеи с експлоатирането на SMB. Съобщенията казват, че злонамереният софтуер се доставя в един заразен файл на Microsoft Word който се изпраща в имейл, прикрит като оферта за работа, фактура или друг подходящ документ.
- Инфекцията чрез SMB се използва, когато непълен компютър може да бъде адресиран и в други заразени машини
WannaCrypt е троянски капкомер
Показващи свойства, че на dropper Trojan, WannaCrypt, се опитва да свърже домейна hxxp: [.] // WWW iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea ком [.], използвайки API InternetOpenUrlA ():
Ако обаче връзката е успешна, заплахата не заразява системата допълнително с ransomware или се опитва да използва други системи за разпространение; то просто спира изпълнението. Само когато връзката не успее, капкомера продължава да изпуска ransomware и създава услуга в системата.
Следователно, блокирането на домейна със защитна стена или на ниво доставчик или мрежа на мрежата ще доведе до това ransomware да продължи да разпространява и криптира файлове.
Това беше точно начина, по който един изследовател в областта на сигурността спря спирането на WansCry Ransomware! Този изследовател смята, че целта на проверката на този домейн е за ransomware да провери дали той се изпълнява в Sandbox. Обаче друг изследовател по сигурността смята, че проверката на домейна не е наясно с прокси.
Когато се изпълни, WannaCrypt създава следните ключове в системния регистър:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe" - HKLM СОФТУЕР WanaCrypt0r wd = "
”
Той променя тапета в съобщение за откуп, като променя следния ключ на системния регистър:
HKCU Контролен панел Desktop Тапет: " @ WanaDecryptor @.bmp"
Искането за откуп срещу дешифриращия ключ започва с $ 300 Bitcoin който се увеличава след всеки няколко часа.
Разширения на файлове, заразени с WannaCrypt
WannaCrypt претърсва целия компютър за всеки файл с някое от следните разширения:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds2,.key,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ot,.vbs,.der,.ot,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
То тогава ги преименува, като добавя ".WNCRY" към името на файла
WannaCrypt има способност за бързо разпространение
Функционалността на червеите в WannaCrypt позволява да се зарази непакетираните машини с Windows в локалната мрежа. В същото време тя също така извършва масово сканиране на IP адреси в Интернет, за да открие и зарази други уязвими компютри. Тази дейност води до големи данни за SMB трафик, идващи от заразения хост, и могат лесно да бъдат проследени от персонала на SecOps.
След като WannaCrypt успешно заразява уязвима машина, тя я използва, за да зарази други компютри. Цикълът продължава, тъй като сканиращото маршрутизиране открива неподходящи компютри.
Как да се предпазите от Wannacrypt
- Microsoft препоръчва надстройване до Windows 10 тъй като е оборудван с най-новите функции и проактивни смекчавания.
- Инсталирайте актуализация за защита MS17-010 издаден от Microsoft. Компанията пусна също така лепенки за защита за неподдържани версии на Windows като Windows XP, Windows Server 2003 и др.
- На потребителите на Windows се препоръчва да бъдат изключително предпазливи от електронната поща и да бъдат много внимателни докато са отваряне на прикачените файлове към имейли или кликване върху уеб връзки.
- правя архивиране и да ги пази здраво
- Windows Defender Antivirus открива тази заплаха като Ransom: Win32 / WannaCrypt така че активирайте и актуализирайте и стартирайте Windows Defender Antivirus, за да откриете този ransomware.
- Възползвайте се от някои Анти-WannaCry Ransomware Инструменти.
- EternalBlue Уязвимост Checker е безплатен инструмент, който проверява дали вашият компютър с Windows е уязвим Eternal Blue exploit.
- Деактивиране на SMB1 със стъпките, документирани на KB2696547.
- Помислете за добавяне на правило към рутера или защитната стена блокиране на входящия SMB трафик на порт 445
- Enterprise потребителите могат да използват Охрана на устройства да блокира устройствата и да осигури защита на базата на виртуализация на ядрото, позволяваща да се изпълняват само надеждни приложения.
За да научите повече по тази тема, прочетете техния блог.
WannaCrypt може да е спряно за сега, но може да очаквате по-нов вариант да стачкува по-яростно, така че останете в безопасност и сигурни.
Клиентите на Microsoft Azure може да искат да прочетат съветите на Microsoft за това как да предотвратят заплахата на WannaCrypt Ransomware.
UPDATE: WannaCry Ransomware Decryptors са на разположение. При благоприятни условия, WannaKey и WanaKiwi, два инструмента за декриптиране могат да помогнат за дешифрирането на криптирани файлове WannaCrypt или WannaCry Ransomware чрез извличане на ключа за шифроване, използван от ransomware.
