WannaCrypt Ransomware, также известный под именами WannaCry, WanaCrypt0r или Wcrypt - это выкуп, предназначенный для операционных систем Windows. Обнаружен на 12го Май 2017 года WannaCrypt использовался в большой кибер-атаке и с тех пор заразил более 230 000 компьютеров Windows в 150 странах. сейчас.
Что такое WannaCrypt ransomware
Как WansCrypt ransomware попадает на ваш компьютер
Как видно из его всемирных атак, WannaCrypt сначала получает доступ к компьютерной системе через вложения электронной почты и после этого может быстро распространяться ЛВС, Выкуп может зашифровать ваш системный жесткий диск и попытаться использовать Уязвимость SMB для распространения на случайные компьютеры в Интернете через TCP-порт и между компьютерами в одной сети.
Кто создал WannaCrypt
Нет подтвержденных отчетов о том, кто создал WannaCrypt, хотя WanaCrypt0r 2.0 выглядит как 2й попытка его авторов. Его предшественник Ransomware WeCry был обнаружен еще в феврале этого года и потребовал 0,1 биткойна для разблокировки.
В настоящее время злоумышленники, как сообщается, используют эксплойт Microsoft Windows Вечный Синий который, как утверждается, был создан NSA. Сообщается, что эти инструменты были украдены и просочились группой под названием Теневые брокеры.
Как распространяется WannaCrypt
Этот Ransomware распространяется с использованием уязвимости в реализации блока сообщений сервера (SMB) в системах Windows. Этот эксплойт назван EternalBlue которая, как сообщается, была похищена и использована неправильно Теневые брокеры.
Что интересно, EternalBlue это хакерское оружие, разработанное NSA для доступа и управления компьютерами под управлением Microsoft Windows. Он был специально разработан для подразделения военной разведки Америки, чтобы получить доступ к компьютерам, используемым террористами.
WannaCrypt создает вектор ввода в машинах, которые еще не загружены даже после того, как исправление стало доступным. WannaCrypt предназначен для всех версий Windows, которые не были исправлены для МС-17-010, выпущенный Microsoft в марте 2017 года для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 и Windows Server 2016.
Общая схема инфицирования включает:
- Прибытие через социальные инженерные электронные письма, предназначенные для обмана пользователей для запуска вредоносного ПО и активации функций распространения червя с использованием SMB-эксплойта. В отчетах говорится, что вредоносное ПО зараженный файл Microsoft Word который отправляется по электронной почте, замаскированным под предложение о работе, счет-фактуру или другой соответствующий документ.
- Инфекция через SMB-эксплойт, когда неподдерживаемый компьютер может быть адресован другим зараженным машинам
WannaCrypt - троянский пипетка
Выделение свойств троянца Dropper, WannaCrypt, пытается подключить домен hxxp: [.] // WWW iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea ком [.], используя API InternetOpenUrlA ():
Однако, если соединение успешное, угроза не заражает систему в дальнейшем с помощью вымогательства или пытается использовать другие системы для распространения; он просто прекращает выполнение. Только когда соединение выходит из строя, капельница продолжает отбрасывать выкуп и создает службу в системе.
Следовательно, блокирование домена брандмауэром либо на уровне интернет-провайдера, либо на корпоративной сети приведет к тому, что ransomware продолжит распространение и шифрование файлов.
Именно так исследователь безопасности фактически остановил WannaCry Ransomware outbreak! Этот исследователь считает, что цель этой проверки домена заключалась в том, чтобы выкупная программа проверяла, была ли она запущена в Песочнице. Однако другой исследователь по безопасности считал, что проверка домена не поддерживает прокси.
Когда Executed, WannaCrypt создает следующие ключи реестра:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe» - HKLM SOFTWARE WanaCrypt0r wd = "
”
Он изменяет обои на сообщение выкупа путем изменения следующего раздела реестра:
HKCU Панель управления Рабочий стол Обои: " @ WanaDecryptor @.bmp»
Выкуп, полученный против ключа дешифрования, начинается с $ 300 Биткойн который увеличивается через каждые несколько часов.
Расширения файлов, зараженные WannaCrypt
WannaCrypt ищет весь компьютер для любого файла с любым из следующих расширений имени файла:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Затем он переименовывает их, добавляя «.WNCRY» к имени файла
WannaCrypt имеет возможность быстрого распространения
Функциональность червя WannaCrypt позволяет заражать незапакованные компьютеры Windows в локальной сети. В то же время он также выполняет массированное сканирование IP-адресов в Интернете для поиска и заражения других уязвимых ПК. Эта активность приводит к большим данным трафика SMB, поступающим от зараженного хоста, и их можно легко отслеживать персоналом SecOps.
Как только WannaCrypt успешно заражает уязвимую машину, она использует ее для перехода на другие ПК. Продолжается цикл, так как маршрутизация сканирования обнаруживает нераспределенные компьютеры.
Как защитить от Wannacrypt
- Microsoft рекомендует обновление до Windows 10 поскольку он оснащен новейшими функциями и проактивными смягчениями.
- Установите обновление безопасности MS17-010 выпущенный Microsoft. Компания также выпустила исправления безопасности для неподдерживаемых версий Windows, таких как Windows XP, Windows Server 2003 и т. Д.
- Пользователям Windows рекомендуется быть крайне осторожными с электронной почтой Phishing и быть очень осторожными, пока открытие вложений электронной почты или нажмите на веб-ссылки.
- Делать резервное копирование и держать их надежно
- Защитник Windows Defender обнаруживает эту угрозу как Ransom: Win32 / WannaCrypt поэтому включите и обновите и запустите Windows Defender Antivirus, чтобы обнаружить эту выкупку.
- Использовать некоторые Средства защиты от вторжений от WannaCry.
- EternalBlue Vulnerability Checker - бесплатный инструмент, который проверяет, уязвим ли ваш компьютер Windows для Эксперимент EternalBlue.
- Отключить SMB1 с этапом, описанным в KB2696547.
- Рассмотрите возможность добавления правила на маршрутизаторе или брандмауэре блокировать входящий SMB-трафик на порте 445
- Пользователи предприятия могут использовать Устройство защиты блокировать устройства и обеспечивать защиту на основе виртуализации на уровне ядра, позволяя запускать только доверенные приложения.
Чтобы узнать больше об этой теме, прочитайте блог Technet.
WannaCrypt, возможно, был остановлен на данный момент, но вы можете ожидать, что более новый вариант ударит более яростно, поэтому оставайтесь в безопасности и безопасности.
Клиенты Microsoft Azure могут захотеть ознакомиться с рекомендациями Microsoft о том, как предотвратить WannaCrypt Ransomware Threat.
ОБНОВИТЬ: Утилиты WannaCry Ransomware доступны. В благоприятных условиях, WannaKey а также WanaKiwi, два средства дешифрования могут помочь расшифровать WannaCrypt или WannaCry Ransomware зашифрованные файлы, извлекая ключ шифрования, используемый средством рассылки.
