Co je ransomware WannaCry, jak funguje a jak zůstat v bezpečí

WannaCry Ransomware, také známý pod jmény WannaCrypt, WanaCrypt0r nebo Wcrypt je ransomware zaměřený na operační systémy Windows. Objeveno 12^th V květnu 2017 byl WannaCrypt použit při velkém kybernetickém útoku a od té doby infikoval více než 230 000 počítačů se systémem Windows ve 150 zemích. Nyní.

Co je ransomware WannaCry

Počáteční zásahy WannaCrypt zahrnují britskou národní zdravotní službu, španělskou telekomunikační společnost Telefónica a logistickou společnost FedEx. Rozsah kampaně za ransomware byl takový, že způsobil chaos v nemocnicích ve Velké Británii. Mnoho z nich muselo být v krátké době ukončeno, aby došlo ke spuštění operací, zatímco zaměstnanci byli nuceni používat pero a papír pro svou práci se systémy uzamčenými Ransomwarem.

Jak se ransomware WannaCry dostane do vašeho počítače

Jak je patrné z celosvětových útoků, WannaCrypt nejprve získá přístup k počítačovému systému prostřednictvím emailová příloha a poté se může rychle šířit skrz LAN. Ransomware může zašifrovat pevný disk vašeho systému a pokusí se zneužít Zranitelnost SMB šířit se na náhodné počítače na internetu přes port TCP a mezi počítači ve stejné síti.

Kdo vytvořil WannaCry

Neexistují žádné potvrzené zprávy o tom, kdo vytvořil WannaCrypt, i když WanaCrypt0r 2.0 vypadá jako 2^nd pokus jeho autorů. Jeho předchůdce, Ransomware WeCry, byl objeven v únoru tohoto roku a požadoval 0.1 bitcoin za odblokování.

V současné době útočníci údajně využívají Microsoft Windows exploit Věčná modrá který údajně vytvořil NSA. Tyto nástroje byly údajně ukradeny a unikly skupinou s názvem Shadow Brokers.

Jak se šíří WannaCry

Tento Ransomware se šíří pomocí chyby zabezpečení při implementaci Server Message Block (SMB) v systémech Windows. Tento exploit je pojmenován jako Věčný Modrý který byl údajně ukraden a zneužit skupinou zvanou Shadow Brokers.

Zajímavě, Věčný Modrý je hackerská zbraň vyvinutá NSA za účelem získání přístupu a ovládání počítačů se systémem Microsoft Windows. Byl speciálně navržen pro americkou vojenskou zpravodajskou jednotku, aby získal přístup k počítačům používaným teroristy.

WannaCrypt vytvoří vstupní vektor ve strojích, které jsou stále neopravené i poté, co byla oprava k dispozici. WannaCrypt cílí na všechny verze Windows, které nebyly opraveny MS-17-010, kterou společnost Microsoft vydala v březnu 2017 pro systémy Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 a Windows Server 2016.

Běžný vzor infekce zahrnuje:

• Příjezd prostřednictvím e-mailů sociálního inženýrství navržených tak, aby přiměly uživatele ke spuštění malwaru a aktivaci funkce šíření červů s využitím SMB. Zprávy říkají, že malware je dodáván v infikovaný soubor Microsoft Word který je zaslán e-mailem, maskovaný jako nabídka práce, faktura nebo jiný relevantní dokument.
• Infekce prostřednictvím protokolu SMB se zneužít, když lze neopravený počítač řešit na jiných infikovaných počítačích

WannaCry je trojské kapátko

WannaCry, který má vlastnosti kaprovacího trojského koně, se pokouší připojit doménu hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, pomocí API InternetOpenUrlA ():

Pokud je však připojení úspěšné, hrozba neinfikuje systém dále ransomwarem ani se nepokouší šířit jiné systémy; jednoduše zastaví provádění. Je to jen v případě, že připojení selže, kapátko pokračuje v upuštění od ransomwaru a vytvoří službu v systému.

Blokování domény pomocí brány firewall na úrovni ISP nebo podnikové sítě proto způsobí, že ransomware bude pokračovat v šíření a šifrování souborů.

Přesně tak výzkumník zabezpečení zastavil propuknutí ransomwaru WannaCry! Tento výzkumník má pocit, že cílem této kontroly domény bylo, aby ransomware zkontroloval, zda byla spuštěna v sandboxu. Jiný výzkumník zabezpečení se však domníval, že kontrola domény si není vědoma proxy.

Po spuštění vytvoří WannaCrypt následující klíče registru:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ tasksche.exe “
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = ““

Změní tapetu na výkupnou zprávu úpravou následujícího klíče registru:

• HKCU \ Ovládací panely \ Desktop \ Tapeta: “\ @ [chráněno e-mailem] “

Výkupné požádané proti dešifrovacímu klíči začíná 300 $ bitcoin který se zvyšuje po každých několika hodinách.

Přípony souborů infikované WannaCrypt

WannaCrypt prohledá celý počítač a najde libovolný soubor s některou z následujících přípon názvů souborů: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .klíč , .sldm , .3g2 , .položit , .sldm , .3gp , .ležel6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .OBLOUK , .mdb , .sqlite3 , .vzestup , .mdf , .sqlitedb , .asf , .střední , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .záloha , .mp3 , .suo , .bak , .mp4 , .svg , .netopýr , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .zpráva , .sxd , .bz2 , .můj , .sxi , .C , .myi , .sxm , .cgm , .nef , .sxw , .třída , .odb , .dehet , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .CSR , .onetoc2 , .txt , .CSV , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der “ , .ott , .vcd , .rozdíl , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .tečka , .php , .WAV , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .hrnec , .týden , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .sklenice , .rar , .zip , .Jáva , .drsný

Poté je přejmenuje připojením „.WNCRY ”na název souboru

WannaCry má schopnost rychlého šíření

Funkce červa ve WannaCry mu umožňuje infikovat neopravené počítače se systémem Windows v místní síti. Současně také provádí masivní skenování na internetových IP adresách, aby našel a infikoval další zranitelné počítače. Tato aktivita vede k velkým datům přenosu SMB pocházejícím z infikovaného hostitele a může být snadno sledována pracovníky SecOps.

Jakmile WannaCry úspěšně infikuje zranitelný počítač, použije jej k infikování dalších počítačů. Cyklus dále pokračuje, protože směrování skenování objeví neopravené počítače.

Jak se chránit před WannaCry

1. Společnost Microsoft doporučuje upgrade na Windows 10 protože je vybaven nejnovějšími funkcemi a proaktivními zmírnění.
2. Nainstalujte aktualizace zabezpečení MS17-010 vydané společností Microsoft. Společnost také vydala bezpečnostní záplaty pro nepodporované verze Windows, jako jsou Windows XP, Windows Server 2003 atd.
3. Doporučuje se uživatelům Windows, aby si na phishingové e-maily dávali velký pozor a přitom byli velmi opatrní otevření e-mailových příloh nebo kliknutím na webové odkazy.
4. Udělat zálohy a bezpečně je udržujte
5. Windows Defender Antivirus detekuje tuto hrozbu jako Výkupné: Win32 / WannaCrypt povolte a aktualizujte a spusťte program Windows Defender Antivirus, abyste zjistili tento ransomware.
6. Využijte některé Anti-WannaCry Ransomware nástroje.
7. EternalBlue Vulnerability Checker je bezplatný nástroj, který kontroluje, zda je váš počítač se systémem Windows zranitelný EternalBlue zneužít.
8. Zakázat SMB1 s kroky popsanými na KB2696547.
9. Zvažte přidání pravidla na router nebo firewall do blokovat příchozí provoz SMB na portu 445
10. Podnikoví uživatelé mohou používat Guard zařízení uzamknout zařízení a zajistit zabezpečení založené na virtualizaci na úrovni jádra, což umožní spuštění pouze důvěryhodným aplikacím.

Chcete-li se o tomto tématu dozvědět více, přečtěte si blog Technet.

WannaCrypt může být prozatím zastaven, ale můžete očekávat, že novější varianta udeří zuřivěji, takže zůstaňte v bezpečí.

Zákazníci Microsoft Azure si možná budou chtít přečíst rady společnosti Microsoft, jak odvrátit WannaCrypt Ransomware Threat.

AKTUALIZACE: WannaCry Ransomware Decryptors jsou k dispozici. Za příznivých podmínek, WannaKey a WanaKiwi, dva dešifrovací nástroje mohou pomoci dešifrovat šifrované soubory WannaCrypt nebo WannaCry Ransomware načtením šifrovacího klíče použitého ransomwarem.