Mi a WannaCrypt ransomware, hogyan működik és hogyan maradjunk biztonságban

Tartalomjegyzék:

Mi a WannaCrypt ransomware, hogyan működik és hogyan maradjunk biztonságban
Mi a WannaCrypt ransomware, hogyan működik és hogyan maradjunk biztonságban

Videó: Mi a WannaCrypt ransomware, hogyan működik és hogyan maradjunk biztonságban

Videó: Mi a WannaCrypt ransomware, hogyan működik és hogyan maradjunk biztonságban
Videó: Windows 10/11 and Windows Servers: Architecture: Unlock troubleshooting secrets - YouTube 2024, Március
Anonim

WannaCrypt Ransomware, amelyet a WannaCry, a WanaCrypt0r vagy a Wcrypt név is ismernek, egy felszabadító program, amely a Windows operációs rendszereket célozza meg. Felfedezve 12-énth A WannaCryptot 2017 májusában egy nagy cyber-támadásban használták fel, és azóta 150 országban több mint 230 000 Windows PC-t fertőzött meg. Most.

Mi az a WannaCrypt ransomware?

A WannaCrypt kezdeti találatok közé tartozik az Egyesült Királyság Nemzeti Egészségügyi Szolgálata, a spanyol Telefónica távközlési vállalat és a FedEx logisztikai cég. Ilyen volt az iranómia-kampány mértéke, amely az Egyesült Királyság kórházai káoszát okozta. Sokan le kellett állítani a rövid időre történő működés leállítását, miközben a személyzet arra kényszerült, hogy tollat és papírt használjon a Ransomware által bezárott rendszerekhez.
A WannaCrypt kezdeti találatok közé tartozik az Egyesült Királyság Nemzeti Egészségügyi Szolgálata, a spanyol Telefónica távközlési vállalat és a FedEx logisztikai cég. Ilyen volt az iranómia-kampány mértéke, amely az Egyesült Királyság kórházai káoszát okozta. Sokan le kellett állítani a rövid időre történő működés leállítását, miközben a személyzet arra kényszerült, hogy tollat és papírt használjon a Ransomware által bezárott rendszerekhez.

Hogyan nyeri meg a WannaCrypt ransomware a számítógépedet?

A világméretű támadásokból kiderül, hogy a WannaCrypt először a számítógépes rendszerhez fér hozzá email melléklet és ezután gyorsan terjedhet LAN. A ransomware titkosítja a rendszer merevlemezét és megpróbálja kihasználni a SMB sebezhetőség hogy az interneten TCP porton és ugyanazon a hálózaton lévő számítógépeken véletlenszerű számítógépekre terjedjen ki.

Ki hozta létre a WannaCryptot?

Nincsenek megerősített jelentések arról, hogy ki hozta létre a WannaCryptet, bár a WanaCrypt0r 2.0 a 2-esnek néz kind a szerzői kísérlet. Elődjét, a Ransomware WeCry-t idén februárban fedezték fel, és 0,1 Bitcoint igényelt a feloldáshoz.

Jelenleg a támadók a Microsoft Windows exploitét használják Örök kék amelyet állítólag az NSA hozott létre. Ezekről az eszközökről azt állították, hogy ellopják és szivárognak egy hívott csoport által Shadow Brókerek.

Hogyan terjed a WannaCrypt?

Ez a Ransomware átterjed a kiszolgálói üzenetblokk (SMB) implementációinak Windows rendszerekben történő biztonsági résével. Ezt a kizsákmányt a következőként nevezték el: EternalBlue amelyről azt állították, hogy ellopják és visszaélnek egy hívott csoporttal Shadow Brókerek.

Érdekes módon, EternalBlue egy olyan hacker fegyver, amelyet az NSA fejlesztett ki a Microsoft Windows operációs rendszert futtató számítógépekhez való hozzáféréssel és parancsokkal. Ezt kifejezetten arra tervezték, hogy az amerikai katonai hírszerző egység hozzáférjen a terroristák által használt számítógépekhez.

A WannaCrypt létrehoz egy bejegyzésvektort olyan gépekben, amelyek még nem lettek feltöltve, még miután a javítás elérhetővé vált. A WannaCrypt minden olyan Windows verziót céloz meg, amelyre nem került sor MS-17-010, amelyet a Microsoft 2017 márciusában kiadott a Windows Vista, a Windows Server 2008, a Windows 7, a Windows Server 2008 R2, a Windows 8.1, a Windows RT 8.1, a Windows Server 2012, a Windows Server 2012 R2, a Windows 10 és a Windows Server 2016 esetében.

A gyakori fertőzés mintája a következőket tartalmazza:

  • Érkezik a társadalombiztosítási e-mailek segítségével, amelyek arra késztetik a felhasználókat, hogy futtassák a rosszindulatú programokat, és aktiválják a féreg-elterjedési funkciókat az SMB-vel. A jelentések szerint a rosszindulatú programot egy fertőzött Microsoft Word fájlt amelyet egy e-mailben küldünk, áldozatául, állásajánlatot, számlát vagy más releváns dokumentumot.
  • Az SMB-en keresztül történő fertőzés kihasználja, ha egy nem fertőzött számítógép más fertőzött gépeken kezelhető

A WannaCrypt egy trójai csepegtető

A dropper trójai, a WannaCrypt által mutatott tulajdonságok bemutatása megkísérli a domain kapcsolódását hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, az API InternetOpenUrlA () használatával:

Ha azonban a kapcsolat sikeres, a fenyegetés nem ronthatja tovább a rendszert, vagy megpróbálja kihasználni más rendszerek terjesztését; egyszerűen leállítja a végrehajtást. Csak akkor, ha a kapcsolat meghiúsul, a cseppentő továbbfolytatja a visszaváltási programot, és létrehoz egy szolgáltatást a rendszerben.

Ezért a tűzfalat az ISP-nél vagy a vállalati hálózat szintjén blokkolja a domain, így a felszabadító szoftver folytatja a fájlok terjedését és titkosítását.

Pontosan tudta, hogy egy biztonsági kutató megállította a WannaCry Ransomware kitörését! Ez a kutató úgy érezte, hogy a domain ellenőrzésének célja az volt, hogy a ransomware ellenőrizze, hogy a Sandbox fut-e. Azonban egy másik biztonsági kutató úgy érezte, hogy a domain-ellenőrzés nem proxy-tudat.

Végrehajtva a WannaCrypt létrehozza a következő rendszerleíró kulcsokat:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Run = “ Tasksche.exe”
  • HKLM SOFTWARE WanaCrypt0r wd = "

A háttérképet váltási üzenetre váltja az alábbi rendszerleíró kulcs módosításával:

Image
Image

HKCU Control Panel Desktop Háttérkép: " @ WanaDecryptor @.bmp”

A dekódolási kulcs ellen felszólított váltságdíj kezdődik $ 300 Bitcoin ami minden néhány óra után megnő.

A WannaCrypt által fertőzött fájlkiterjesztések

A WannaCrypt a teljes számítógépet a következő fájlnévkiterjesztések bármelyikével keresheti:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Ezután átnevezi őket a ".WNCRY" fájlnév hozzáadásával

A WannaCrypt gyors terjedési képességgel rendelkezik

A WannaCrypt féregfunkciója lehetővé teszi, hogy megfertőzze a Windows rendszerű, nem patkolt gépeket a helyi hálózatban. Ezzel egyidejűleg az internetes IP-címek nagyméretű szkennelését is végzi, hogy megtalálja és megfertőzze más kiszolgáltatott számítógépeket. Ez a tevékenység a fertőzött gazdagép nagyméretű SMB-forgalmának adatait eredményezi, és a SecOps személyzete könnyen nyomon követheti.

Miután a WannaCrypt sikeresen fertőzte meg a sérülékeny gépet, akkor azt más számítógépek fertőzésére használja fel. A ciklus tovább folytatódik, mivel a beolvasási útvonal észleli a be nem töltött számítógépeket.

Hogyan védekezhet a Wannacrypt ellen?

  1. A Microsoft ajánlja frissítés a Windows 10 rendszerre mivel fel van szerelve a legújabb funkciókkal és proaktív enyhítéssel.
  2. Telepítse a MS17-010. biztonsági frissítés a Microsoft kiadta. A vállalat biztonsági másolatokat is kiadott a nem támogatott Windows-verziók, például a Windows XP, a Windows Server 2003 stb.
  3. A Windows-felhasználókat figyelmeztetni kell arra, hogy rendkívül óvatosak legyenek az adathalászatsal kapcsolatos e-mailekről, és legyen nagyon óvatos megnyitva az e-mail mellékleteket vagy kattintson a webes hivatkozásokra.
  4. csinál mentések és tartsd biztonságban
  5. Windows Defender Antivirus észleli ezt a fenyegetést Ransom: Win32 / WannaCrypt ezért engedélyezze és frissítse és futtassa a Windows Defender Antivirus programot a ransomware észleléséhez.
  6. Használj néhányat Anti-WannaCry Ransomware eszközök.
  7. Az EternalBlue sebezhetőség-ellenőrző egy ingyenes eszköz, amely ellenőrzi, hogy a Windows számítógép sebezhető-e EternalBlue kihasználni.
  8. Az SMB1 letiltása a KB2696547 számú dokumentumban ismertetett lépésekkel.
  9. Vegye fontolóra, hogy adj hozzá egy szabályt az útválasztóhoz vagy a tűzfalhoz bejövő SMB forgalom blokkolása a 445-ös porton
  10. A vállalati felhasználók használhatják Eszközgárda zárolja az eszközöket és biztosítja a kernel szintű virtualizációs alapú biztonságot, amely csak megbízható alkalmazások futását teszi lehetővé.

Ha többet szeretne megtudni erről a témáról, olvassa el a Technet blogot.

A WannaCrypt most már megállt, de egy újabb változat várhatóan még dühödten fog robbanni, ezért biztonságban maradjon.

A Microsoft Azure ügyfelei el szeretnék olvasni a Microsoft tanácsát a WannaCrypt Ransomware fenyegetés elkerüléséről.

UPDATE: WannaCry Ransomware Decryptorok állnak rendelkezésre. Kedvező körülmények között, WannaKey és WanaKiwikét dekódoló eszköz segíthet a WannaCrypt vagy WannaCry Ransomware titkosított fájlok dekódolásában a ransomware által használt titkosítási kulcs visszanyerésével.

Ajánlott: