WannaCry Ransomware, известен също с имената WannaCrypt, WanaCrypt0r или Wcrypt е рансъмуер, който е насочен към операционни системи Windows. Открит на 12ти Май 2017 г., WannaCrypt е бил използван в голяма кибератака и оттогава е заразил над 230 000 компютъра с Windows в 150 държави. сега.
Какво е WannaCry рансъмуер
Първоначалните хитове на WannaCrypt включват Националната здравна служба на Обединеното кралство, испанската телекомуникационна фирма Telefónica и логистичната компания FedEx. Мащабът на кампанията за рансъмуер е такъв, че предизвиква хаос в болниците в Обединеното кралство. Много от тях трябваше да бъдат изключени, задействайки затваряне на операции в кратък срок, докато персоналът беше принуден да използва писалка и хартия за своята работа със системи, заключени от Ransomware.
Как WannaCry рансъмуерът влиза във вашия компютър
Както се вижда от световните атаки, WannaCrypt първо получава достъп до компютърната система чрез прикачен файл към имейл и след това може да се разпространи бързо LAN. Рансъмуерът може да шифрова твърдия диск на вашите системи и да се опитва да използва Уязвимост на SMB за разпространение на произволни компютри в Интернет чрез TCP порт и между компютри в същата мрежа.
Кой е създал WannaCry
Няма потвърдени доклади за това кой е създал WannaCrypt, въпреки че WanaCrypt0r 2.0 изглежда 2nd опит, направен от неговите автори. Неговият предшественик, Ransomware WeCry, беше открит през февруари тази година и поиска 0.1 биткойн за отключване.
В момента нападателите използват експлойт на Microsoft Windows Вечно синьо за която се твърди, че е създадена от NSA. Тези инструменти са били откраднати и изтекли от група, наречена Брокери на сенки.
Как се разпространява WannaCry
Този Ransomware се разпространява чрез използване на уязвимост при внедряването на Server Message Block (SMB) в системи с Windows. Този експлойт се нарича EternalBlue която е била открадната и злоупотребена от група, наречена Брокери на сенки.
Интересно, EternalBlue е хакерско оръжие, разработено от NSA, за да получи достъп и да управлява компютрите с Microsoft Windows. Той е специално разработен за американското военно разузнавателно звено, за да получи достъп до компютрите, използвани от терористите.
WannaCrypt създава вектор за въвеждане в машини, които все още не са закърпени, дори след като корекцията е станала достъпна. WannaCrypt е насочен към всички версии на Windows, които не са били изправени MS-17-010, който Microsoft пусна през март 2017 г. за Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 и Windows Server 2016.
Честият модел на инфекция включва:
- Пристигане чрез имейли за социално инженерство, предназначени да подмамят потребителите да стартират зловредния софтуер и да активират функцията за разпространение на червеи с експлоатацията на SMB. Докладите казват, че зловредният софтуер се доставя в заразен файл на Microsoft Word който се изпраща в имейл, маскиран като оферта за работа, фактура или друг подходящ документ.
- Инфекция чрез SMB експлойт, когато неизправен компютър може да бъде адресиран в други заразени машини
WannaCry е троянски капкомер
Излагайки свойства на троянския дропер, WannaCry, се опитва да свърже домейна hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, с помощта на API InternetOpenUrlA ():
Ако обаче връзката е успешна, заплахата не заразява системата допълнително с рансъмуер или се опитва да използва други системи за разпространение; просто спира изпълнението. Едва когато връзката се провали, капкомерът продължава да изпуска рансъмуера и създава услуга в системата.
Следователно, блокирането на домейна със защитна стена на ниво доставчик на интернет или корпоративна мрежа ще накара рансъмуерът да продължи да разпространява и криптира файлове.
Точно по този начин изследователят по сигурността всъщност спря избухването на WannaCry Ransomware! Този изследовател смята, че целта на тази проверка на домейна е била рансъмуерът да провери дали се изпълнява в пясъчник. Друг изследовател на сигурността обаче смята, че проверката на домейна не е прокси.
Когато се изпълни, WannaCrypt създава следните ключове на системния регистър:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\
= “ \ taskche.exe ” - HKLM \ СОФТУЕР \ WanaCrypt0r \\ wd = “
” - HKLM \ СОФТУЕР \ WanaCrypt0r \\ wd = “
Той променя тапета на съобщение за откуп чрез модифициране на следния ключ на системния регистър:
- HKCU \ Control Panel \ Desktop \ Wallpaper: “
\ @ [имейл защитен] “
Искането за откуп срещу ключа за дешифриране започва с $ 300 биткойн което се увеличава след всеки няколко часа.
Файлови разширения, заразени от WannaCrypt
WannaCrypt търси целия компютър за всеки файл с някое от следните разширения на имена на файлове: .123, .jpeg , .rb , .602 , .jpg , .rtf , .док , .js , .sch , .3dm , .jsp , .ш , .3ds , .ключ , .sldm , .3g2 , .лежеше , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .съгл , .m3u , .sln , .аес , .m4u , .snt , .ai , .макс , .кв , .ДЪГА , .mdb , .sqlite3 , .възходящо , .mdf , .sqlitedb , .asf , .средата , .stc , .asm , .mkv , .std , .asp , .mml , .сти , .avi , .мов , .stw , .архивиране , .mp3 , .suo , .бак , .mp4 , .svg , .прилеп , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .съобщ , .sxd , .bz2 , .мид , .sxi , .° С , .myi , .sxm , .cgm , .Неф , .sxw , .клас , .отб , .катран , .cmd , .odg , .tbk , .cpp , .отп , .tgz , .crt , .отс , .tif , .cs , .отт , .тиф , .csr , .onetoc2 , .текст , .csv , .ost , .uop , .db , .отг , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .дер ” , .отт , .vcd , .разл , .стр12 , .vdi , .потапяне , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .глас , .docm , .пем , .vsd , .docx , .pfx , .vsdx , .точка , .php , .wav , .dotm , .мн , .wb2 , .точка , .png , .wk1 , .dwg , .гърне , .седмици , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .з , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .изо , .pst , .xlw , .буркан , .rar , .цип , .java , .суров
След това ги преименува, като добавя „.WNCRY ”към името на файла
WannaCry има способност за бързо разпространение
Функционалността на червея в WannaCry му позволява да зарази неизправени машини с Windows в локалната мрежа. В същото време той също така извършва масивно сканиране на IP IP адреси за намиране и заразяване на други уязвими компютри. Тази дейност води до големи данни за трафика на SMB, идващи от заразения хост, и могат лесно да бъдат проследени от персонала на SecOps.
След като WannaCry успешно зарази уязвима машина, тя я използва, за да скача, за да зарази други компютри. По-нататък цикълът продължава, тъй като маршрутът за сканиране открива непоправени компютри.
Как да се предпазим от WannaCry
- Microsoft препоръчва надстройка до Windows 10 тъй като е оборудван с най-новите функции и активни смекчаващи мерки.
- Инсталирайте актуализация на защитата MS17-010 издаден от Microsoft. Компанията също така пусна кръпки за сигурност за неподдържани версии на Windows като Windows XP, Windows Server 2003 и др.
- Потребителите на Windows се съветват да бъдат изключително предпазливи към фишинг имейлите и да бъдат много внимателни, докато отваряне на прикачените файлове към имейл или щракване върху уеб-връзки.
- Направете архиви и ги пазете сигурно
- Антивирус на Windows Defender открива тази заплаха като Откуп: Win32 / WannaCrypt така че активирайте и актуализирайте и стартирайте Windows Defender Antivirus, за да откриете този рансъмуер.
- Възползвайте се от някои Anti-WannaCry Ransomware Tools.
- EternalBlue Vulnerability Checker е безплатен инструмент, който проверява дали компютърът ви с Windows е уязвим Експлойт на EternalBlue.
- Деактивирайте SMB1 със стъпките, документирани на KB2696547.
- Помислете за добавяне на правило за вашия рутер или защитна стена към блокирайте входящия SMB трафик на порт 445
- Потребителите на предприятия могат да използват Device Guard за заключване на устройства и осигуряване на защита на базата на виртуализация на ниво ядро, позволяваща да се изпълняват само надеждни приложения.
За да научите повече по тази тема, прочетете блога на Technet.
WannaCrypt засега може да е спрян, но може да очаквате по-нов вариант да удари по-яростно, така че бъдете сигурни и сигурни.
Клиентите на Microsoft Azure може да искат да прочетат съветите на Microsoft за това как да се избегне WannaCrypt Ransomware Threat.
АКТУАЛИЗИРАНЕ: WannaCry Ransomware Decryptors са налични. При благоприятни условия, WannaKey и WanaKiwi, два инструмента за дешифриране могат да помогнат за дешифрирането на криптирани файлове WannaCrypt или WannaCry Ransomware чрез извличане на ключа за шифроване, използван от ransomware.