Hvad er WannaCry ransomware, hvordan fungerer det og hvordan man kan være sikker

WannaCry Ransomware, også kendt under navnene WannaCrypt, WanaCrypt0r eller Wcrypt er en ransomware, der er rettet mod Windows-operativsystemer. Opdaget den 12^th Maj 2017 blev WannaCrypt brugt i et stort cyberangreb og har siden inficeret mere end 230.000 Windows-pc'er i 150 lande. nu.

Hvad er WannaCry ransomware

WannaCrypt indledende hits inkluderer Storbritanniens National Health Service, det spanske telekommunikationsfirma Telefónica og logistikfirmaet FedEx. Sådan var omfanget af ransomwarekampagnen, at det forårsagede kaos på tværs af hospitaler i Det Forenede Kongerige. Mange af dem måtte lukkes ned, hvilket medførte lukning af operationer med kort varsel, mens personalet blev tvunget til at bruge pen og papir til deres arbejde med systemer, der låses af Ransomware.

Hvordan kommer WannaCry ransomware ind på din computer

Som det fremgår af sine verdensomspændende angreb, får WannaCrypt først adgang til computersystemet via en email vedhæftning og kan derefter spredes hurtigt igennem LAN. Ransomware kan kryptere dine systems harddisk og forsøger at udnytte SMB-sårbarhed at sprede sig til tilfældige computere på Internettet via TCP-port og mellem computere på det samme netværk.

Hvem skabte WannaCry

Der er ingen bekræftede rapporter om, hvem der har oprettet WannaCrypt, selvom WanaCrypt0r 2.0 ser ud til at være 2^nd forsøg foretaget af dens forfattere. Dets forgænger, Ransomware WeCry, blev opdaget tilbage i februar i år og krævede 0.1 Bitcoin til oplåsning.

I øjeblikket bruger angriberne angiveligt Microsoft Windows-udnyttelse Evig blå som angiveligt blev oprettet af NSA. Disse værktøjer er efter sigende stjålet og lækket af en gruppe kaldet Shadow Brokers.

Hvordan spredes WannaCry

Denne Ransomware spredes ved hjælp af en sårbarhed i implementeringer af Server Message Block (SMB) i Windows-systemer. Denne udnyttelse er navngivet som EvigBlå som efter sigende blev stjålet og misbrugt af en kaldet gruppe Shadow Brokers.

Interessant, EvigBlå er et hackingsvåben udviklet af NSA for at få adgang til og styre de computere, der kører Microsoft Windows. Det var specielt designet til Amerikas militære efterretningsenhed for at få adgang til de computere, der blev brugt af terroristerne.

WannaCrypt opretter en indgangsvektor i maskiner, der stadig er upatchede, selv efter at rettelsen var blevet tilgængelig. WannaCrypt målretter mod alle Windows-versioner, der ikke blev patchet til MS-17-010, som Microsoft udgav i marts 2017 til Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 og Windows Server 2016.

Det almindelige infektionsmønster inkluderer:

• Ankomst via social engineering-e-mails designet til at narre brugere til at køre malware og aktivere den ormespredende funktionalitet med SMB-udnyttelsen. Rapporter siger, at malware leveres i en inficeret Microsoft Word-fil der sendes i en e-mail, forklædt som et jobtilbud, en faktura eller et andet relevant dokument.
• Infektion gennem SMB udnytter, når en ikke-patchet computer kan adresseres på andre inficerede maskiner

WannaCry er en trojansk dropper

Udstilling af egenskaber fra en dropper-trojan, WannaCry, forsøger at forbinde domænet hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, ved hjælp af API InternetOpenUrlA ():

Men hvis forbindelsen er vellykket, inficerer truslen ikke systemet yderligere med ransomware eller forsøger at udnytte andre systemer til at sprede sig; det stopper simpelthen udførelsen. Det er først, når forbindelsen mislykkes, dropperen fortsætter med at droppe ransomware og opretter en service på systemet.

Derfor vil blokering af domænet med firewall enten på internetudbyder eller virksomhedsnetværksniveau få ransomware til at fortsætte med at sprede og kryptere filer.

Dette var præcis, hvordan en sikkerhedsforsker faktisk stoppede WannaCry Ransomware-udbruddet! Denne forsker føler, at målet med dette domænetjek var, at ransomware skulle kontrollere, om det blev kørt i en sandkasse. En anden sikkerhedsforsker mente imidlertid, at domænetjekken ikke er proxy-opmærksom.

Når den udføres opretter WannaCrypt følgende registreringsdatabasenøgler:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Kør \\ = “\ Tasksche.exe ”
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “”

Det ændrer baggrunden til en løsesummeddelelse ved at ændre følgende registreringsdatabasenøgle:

• HKCU \ Kontrolpanel \ Desktop \ Baggrund: “\ @ [e-mail-beskyttet] ”

Løsepenge, der bliver spurgt mod dekrypteringsnøglen, starter med $ 300 Bitcoin hvilket stiger efter hvert par timer.

Filudvidelser inficeret af WannaCrypt

WannaCrypt søger på hele computeren efter en fil med en af ​​følgende filnavneudvidelser: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dok , .js , .sch , .3dm , .jsp , .sh , .3ds , .nøgle , .sldm , .3g2 , .lægge , .sldm , .3gp , .lægge6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .kvm , .BUE , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .midt , .stk , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .sikkerhedskopi , .mp3 , .suo , .bag , .mp4 , .svg , .flagermus , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .mit jeg , .sxm , .cgm , .nef , .sxw , .klasse , .odb , .tjære , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .prik , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .gryde , .uger , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .krukke , .rar , .lynlås , .java , .rå

Det omdøber dem derefter ved at tilføje “.WNCRY ”til filnavnet

WannaCry har hurtig spredningskapacitet

Ormfunktionaliteten i WannaCry gør det muligt at inficere ikke-patchede Windows-maskiner i det lokale netværk. Samtidig udfører den også massiv scanning på internet-IP-adresser for at finde og inficere andre sårbare pc'er. Denne aktivitet resulterer i store SMB-trafikdata, der kommer fra den inficerede vært, og kan let spores af SecOps-personale.

Når WannaCry med succes inficerer en sårbar maskine, bruger den den til at hoppe til at inficere andre pc'er. Cyklussen fortsætter videre, da scanningsrutingen opdager ikke-patchede computere.

Sådan beskyttes mod WannaCry

1. Microsoft anbefaler opgradering til Windows 10 da den er udstyret med de nyeste funktioner og proaktive afbødninger.
2. Installer sikkerhedsopdatering MS17-010 frigivet af Microsoft. Virksomheden har også frigivet sikkerhedsrettelser til ikke-understøttede Windows-versioner som Windows XP, Windows Server 2003 osv.
3. Windows-brugere rådes til at være yderst forsigtige med phishing-e-mail og være meget forsigtige, mens de er åbning af vedhæftede filer i e-mail eller klikke på web-links.
4. Lave sikkerhedskopier og hold dem sikkert
5. Windows Defender Antivirus opdager denne trussel som Løsepenge: Win32 / WannaCrypt så aktiver og opdater og kør Windows Defender Antivirus for at opdage denne ransomware.
6. Brug nogle Anti-WannaCry Ransomware-værktøjer.
7. EternalBlue Sårbarhedskontrol er et gratis værktøj, der kontrollerer, om din Windows-computer er sårbar over for EternalBlue udnytter.
8. Deaktiver SMB1 med trinene dokumenteret på KB2696547.
9. Overvej at tilføje en regel på din router eller firewall til blokere indgående SMB-trafik på port 445
10. Virksomhedsbrugere kan bruge Enhedsbeskyttelse for at låse enheder og levere virtualiseringsbaseret sikkerhed på kerneniveau, der kun tillader pålidelige applikationer at køre.

Hvis du vil vide mere om dette emne, kan du læse Technet-bloggen.

WannaCrypt er muligvis blevet stoppet for nu, men du kan forvente, at en nyere variant rammer mere rasende, så vær sikker og sikker.

Microsoft Azure-kunder vil muligvis læse Microsofts råd om, hvordan man undgår WannaCrypt Ransomware-trussel.

OPDATER: WannaCry Ransomware Decryptors er tilgængelige. Under gunstige forhold, WannaKey og WanaKiwi, to dekrypteringsværktøjer kan hjælpe med at dekryptere WannaCrypt eller WannaCry Ransomware-krypterede filer ved at hente den krypteringsnøgle, der bruges af ransomware.