Hva er WannaCry ransomware, hvordan fungerer det og hvordan du kan være trygg

WannaCry Ransomware, også kjent under navnene WannaCrypt, WanaCrypt0r eller Wcrypt er en ransomware som er rettet mot Windows-operativsystemer. Oppdaget 12^th Mai 2017 ble WannaCrypt brukt i et stort nettangrep og har siden infisert mer enn 230 000 Windows-PCer i 150 land. nå.

Hva er WannaCry ransomware

WannaCrypt innledende treff inkluderer Storbritannias nasjonale helsetjeneste, det spanske teleselskapet Telefónica og logistikkfirmaet FedEx. Slik var omfanget av løsepengekampanjen at det forårsaket kaos på tvers av sykehus i Storbritannia. Mange av dem måtte stenges, noe som utløste stenging av operasjoner på kort varsel, mens personalet ble tvunget til å bruke penn og papir for sitt arbeid med systemer som ble låst av Ransomware.

Hvordan kommer WannaCry ransomware inn i datamaskinen din

Som det fremgår av verdensomspennende angrep, får WannaCrypt først tilgang til datasystemet via en epost-vedlegg og kan deretter spre seg raskt gjennom LAN. Ransomware kan kryptere systemharddisken din og prøver å utnytte SMB-sårbarhet å spre seg til tilfeldige datamaskiner på Internett via TCP-port og mellom datamaskiner på samme nettverk.

Hvem skapte WannaCry

Det er ingen bekreftede rapporter om hvem som har opprettet WannaCrypt selv om WanaCrypt0r 2.0 ser ut til å være 2^nd forsøk gjort av forfatterne. Forgjengeren, Ransomware WeCry, ble oppdaget i februar i år og krevde 0.1 Bitcoin for å låse opp.

For tiden bruker angriperne angivelig Microsoft Windows-utnyttelse Evig blå som angivelig ble opprettet av NSA. Disse verktøyene er angivelig stjålet og lekket av en gruppe som heter Skyggemeglere.

Hvordan sprer WannaCry seg

Denne løsepenger spres ved å bruke et sikkerhetsproblem i implementeringer av Server Message Block (SMB) i Windows-systemer. Denne utnyttelsen heter EternalBlue som angivelig ble stjålet og misbrukt av en gruppe som ringte Skyggemeglere.

Interessant, EternalBlue er et hackingsvåpen utviklet av NSA for å få tilgang og kommandere datamaskiner som kjører Microsoft Windows. Den ble spesielt designet for USAs militære etterretningsenhet for å få tilgang til datamaskinene som brukes av terroristene.

WannaCrypt oppretter en oppføringsvektor i maskiner som fremdeles ikke er utpakket selv etter at reparasjonen hadde blitt tilgjengelig. WannaCrypt retter seg mot alle Windows-versjoner som ikke ble patchet for MS-17-010, som Microsoft ga ut i mars 2017 for Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 og Windows Server 2016.

Det vanlige infeksjonsmønsteret inkluderer:

• Ankomst via e-post fra sosialteknologi designet for å lure brukere til å kjøre skadelig programvare og aktivere ormaspredningsfunksjonaliteten med SMB-utnyttelsen. Rapporter sier at skadelig programvare blir levert i en infiserte Microsoft Word-fil som sendes i en e-post, forkledd som et jobbtilbud, en faktura eller et annet relevant dokument.
• Infeksjon gjennom SMB utnytter når en ikke-patched datamaskin kan adresseres på andre infiserte maskiner

WannaCry er en trojansk dropper

Utstiller egenskaper som til en dropper Trojan, WannaCry, prøver å koble domenet hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, ved hjelp av API InternetOpenUrlA ():

Imidlertid, hvis forbindelsen er vellykket, infiserer ikke trusselen systemet ytterligere med løsepenger eller prøver å utnytte andre systemer for å spre seg; det stopper rett og slett utførelsen. Det er bare når forbindelsen mislykkes, dropperen fortsetter å slippe løsepenger og skaper en tjeneste på systemet.

Derfor vil blokkering av domenet med brannmur enten på ISP eller bedriftsnettverksnivå føre til at ransomware fortsetter å spre og kryptere filer.

Dette var nøyaktig hvordan en sikkerhetsforsker faktisk stoppet WannaCry Ransomware-utbruddet! Denne forskeren føler at målet med denne domenesjekken var at ransomware skulle sjekke om den ble kjørt i en sandkasse. En annen sikkerhetsforsker mente imidlertid at domenesjekken ikke er proxy-bevisst.

Når den kjøres, oppretter WannaCrypt følgende registernøkler:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ Tasksche.exe ”
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “”

Det endrer bakgrunnen til en løsepengemelding ved å endre følgende registernøkkel:

• HKCU \ Kontrollpanel \ Desktop \ Bakgrunn: “\ @ [e-postbeskyttet] ”

Gjenløsningen som blir spurt mot dekrypteringsnøkkelen starter med $ 300 Bitcoin som øker etter noen få timer.

Filutvidelser infisert av WannaCrypt

WannaCrypt søker på hele datamaskinen etter en hvilken som helst fil med følgende filtypenavn: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dok , .js , .sch , .3dm , .jsp , .sh , .3ds , .nøkkel , .sldm , .3g2 , .legge , .sldm , .3gp , .legge6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .kvm , .BUE , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .midt , .st , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .sikkerhetskopi , .mp3 , .suo , .bak , .mp4 , .svg , .flaggermus , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .min D , .sxi , .c , .min jeg , .sxm , .cgm , .nef , .sxw , .klasse , .odb , .tjære , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .tekst , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .p12 , .vdi , .dyppe , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .punktum , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .gryte , .uker , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .PST , .xlw , .krukke , .rar , .glidelås , .java , .rå

Den omdøper dem deretter ved å legge til “.WNCRY ”til filnavnet

WannaCry har hurtig spredningskapasitet

Ormfunksjonaliteten i WannaCry lar den infisere ikke-patchede Windows-maskiner i det lokale nettverket. Samtidig utfører den også massiv skanning på IP-adresser på Internett for å finne og infisere andre sårbare PC-er. Denne aktiviteten resulterer i at store SMB-trafikkdata kommer fra den infiserte verten, og kan enkelt spores av SecOps-personell.

Når WannaCry infiserte en sårbar maskin, bruker den den til å hoppe for å infisere andre PCer. Syklusen fortsetter videre, ettersom skannerrutingen oppdager datamaskiner som ikke er patchet.

Hvordan beskytte mot WannaCry

1. Microsoft anbefaler oppgradering til Windows 10 som den er utstyrt med de nyeste funksjonene og proaktive avbøtingene.
2. Installer sikkerhetsoppdatering MS17-010 utgitt av Microsoft. Selskapet har også gitt ut sikkerhetsoppdateringer for ikke-støttede Windows-versjoner som Windows XP, Windows Server 2003, etc.
3. Windows-brukere anbefales å være ekstremt forsiktige med Phishing-e-post og være veldig forsiktige mens åpne e-postvedleggene eller klikke på web-lenker.
4. Gjøre sikkerhetskopier og hold dem sikkert
5. Windows Defender Antivirus oppdager denne trusselen som Ransom: Win32 / WannaCrypt så aktiver og oppdater og kjør Windows Defender Antivirus for å oppdage denne løsepenger.
6. Benytt deg av noen Anti-WannaCry Ransomware-verktøy.
7. EternalBlue Vulnerability Checker er et gratis verktøy som sjekker om Windows-datamaskinen din er sårbar for EternalBlue utnytter.
8. Deaktiver SMB1 med trinnene dokumentert på KB2696547.
9. Vurder å legge til en regel på ruteren eller brannmuren til blokker innkommende SMB-trafikk på port 445
10. Bedriftsbrukere kan bruke Enhetsvakt for å låse enheter og gi virtualiseringsbasert sikkerhet på kjernenivå, slik at bare pålitelige applikasjoner kan kjøres.

Hvis du vil vite mer om dette emnet, kan du lese Technet-bloggen.

WannaCrypt kan ha blitt stoppet for nå, men du kan forvente at en nyere variant vil slå mer rasende, så vær trygg og sikker.

Microsoft Azure-kunder vil kanskje lese Microsofts råd om hvordan man kan avverge WannaCrypt Ransomware Threat.

OPPDATER: WannaCry Ransomware Decryptors er tilgjengelig. Under gunstige forhold, WannaKey og WanaKiwi, to dekrypteringsverktøy kan hjelpe dekryptere WannaCrypt eller WannaCry Ransomware krypterte filer ved å hente krypteringsnøkkelen som brukes av ransomware.