Vad är WannaCry ransomware, hur fungerar det och hur man kan vara säker

WannaCry Ransomware, även känd under namnen WannaCrypt, WanaCrypt0r eller Wcrypt är en ransomware som riktar sig till Windows-operativsystem. Upptäcktes den 12^th Maj 2017, WannaCrypt användes i en stor cyberattack och har sedan dess infekterat mer än 230 000 Windows-datorer i 150 länder. nu.

Vad är WannaCry ransomware

WannaCrypt första träffar inkluderar Storbritanniens National Health Service, det spanska telekommunikationsföretaget Telefónica och logistikföretaget FedEx. Sådan var omfattningen av ransomwarekampanjen att den orsakade kaos över sjukhus i Storbritannien. Många av dem var tvungna att stängas av, vilket ledde till att operationer stängdes med kort varsel, medan personalen tvingades använda penna och papper för sitt arbete med system som låses av Ransomware.

Hur kommer WannaCry-ransomware in i din dator

Som framgår av sina globala attacker får WannaCrypt först tillgång till datorsystemet via en email-bilaga och därefter kan spridas snabbt igenom LAN. Ransomware kan kryptera dina systemhårddiskar och försöker utnyttja SMB-sårbarhet att sprida sig till slumpmässiga datorer på Internet via TCP-port och mellan datorer i samma nätverk.

Vem skapade WannaCry

Det finns inga bekräftade rapporter om vem som har skapat WannaCrypt även om WanaCrypt0r 2.0 ser ut att vara 2^nd försök gjort av dess författare. Dess föregångare, Ransomware WeCry, upptäcktes redan i februari i år och krävde 0.1 Bitcoin för upplåsning.

För närvarande använder angriparna enligt uppgift Microsoft Windows-exploatering Evig blå som påstås skapas av NSA. Dessa verktyg har enligt uppgift stulits och läckt ut av en grupp som kallas Shadow Brokers.

Hur sprider WannaCry

Denna Ransomware sprider sig genom att använda en sårbarhet vid implementeringar av Server Message Block (SMB) i Windows-system. Denna exploatering heter som EternalBlue som enligt uppgift stulits och missbrukats av en grupp som kallas Shadow Brokers.

Intressant, EternalBlue är ett hackningsvapen som utvecklats av NSA för att få åtkomst och befalla datorer som kör Microsoft Windows. Det var särskilt utformat för USA: s militära underrättelseenhet för att få tillgång till de datorer som används av terroristerna.

WannaCrypt skapar en inmatningsvektor i maskiner som fortfarande inte har patchats även efter att fixen hade blivit tillgänglig. WannaCrypt riktar sig mot alla Windows-versioner som inte har lagts till MS-17-010, som Microsoft släppte i mars 2017 för Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 och Windows Server 2016.

Det vanliga infektionsmönstret inkluderar:

• Ankomst via socialteknisk e-post som är utformad för att lura användare att köra skadlig programvara och aktivera mask-spridningsfunktionaliteten med SMB-utnyttjandet. Rapporter säger att skadlig kod levereras i en infekterade Microsoft Word-filen som skickas i ett e-postmeddelande, förklädd till ett jobbbjudande, en faktura eller ett annat relevant dokument.
• Infektion via SMB utnyttjar när en opatchad dator kan adresseras i andra infekterade maskiner

WannaCry är en trojansk dropper

Att visa egenskaper som en dropper Trojan, WannaCry, försöker ansluta domänen hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, med API InternetOpenUrlA ():

Men om anslutningen lyckas infekterar hotet inte systemet ytterligare med ransomware eller försöker utnyttja andra system att sprida; det stoppar helt enkelt utförandet. Det är först när anslutningen misslyckas, dropparen fortsätter att släppa ransomware och skapar en tjänst på systemet.

Därför kommer blockering av domänen med brandvägg antingen på ISP- eller företagsnätverksnivå att ransomware fortsätter att sprida och kryptera filer.

Det var precis hur en säkerhetsforskare faktiskt stoppade WannaCry Ransomware-utbrottet! Denna forskare anser att målet med denna domänkontroll var att ransomware skulle kontrollera om den kördes i en sandlåda. En annan säkerhetsforskare ansåg dock att domänkontrollen inte är proxymedveten.

När den körs skapar WannaCrypt följande registernycklar:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ Tasksche.exe ”
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “”

Det ändrar bakgrunden till ett lösenmeddelande genom att ändra följande registernyckel:

• HKCU \ Kontrollpanel \ Skrivbord \ Bakgrund: “\ @ [e-postskyddad] ”

Lösningen som frågas mot dekrypteringsnyckeln börjar med $ 300 Bitcoin som ökar varannan timme.

Filtillägg infekterade av WannaCrypt

WannaCrypt söker efter hela datorn efter valfri fil med något av följande filnamnstillägg: .123, .jpeg , .rb , .602 , .jpg , .RTF , .dok , .js , .sch , .3dm , .jsp , .sh , .3ds , .nyckel- , .sldm , .3g2 , .lägga , .sldm , .3gp , .låg6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .kvm , .BÅGE , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mitten , .st , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .säkerhetskopiering , .mp3 , .suo , .bak , .mp4 , .svg , .fladdermus , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .klass , .odb , .tjära , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .Text , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .p12 , .vdi , .dopp , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .punkt , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pott , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .burk , .rar , .blixtlås , .java , .rå

Det byter namn på dem genom att lägga till “.WNCRY ”till filnamnet

WannaCry har snabb spridningsförmåga

Maskfunktionaliteten i WannaCry gör det möjligt att infektera icke-lappade Windows-maskiner i det lokala nätverket. Samtidigt utför den också massiv skanning på Internet-IP-adresser för att hitta och infektera andra utsatta datorer. Denna aktivitet resulterar i att stora SMB-trafikdata kommer från den infekterade värden och kan enkelt spåras av SecOps personal.

När WannaCry framgångsrikt infekterat en sårbar maskin använder den den för att hoppa för att infektera andra datorer. Cykeln fortsätter vidare, eftersom skanningsvägen upptäcker datorer som inte har lagts om.

Hur man skyddar mot WannaCry

1. Microsoft rekommenderar uppgraderar till Windows 10 eftersom den är utrustad med senaste funktioner och proaktiva begränsningar.
2. Installera säkerhetsuppdatering MS17-010 släpptes av Microsoft. Företaget har också släppt säkerhetsuppdateringar för Windows-versioner som Windows XP, Windows Server 2003 osv. Som inte stöds.
3. Windows-användare rekommenderas att vara extremt försiktiga med Phishing-e-post och vara mycket försiktiga medan öppna e-postbilagorna eller klicka på webblänkar.
4. Göra säkerhetskopior och håll dem säkert
5. Windows Defender Antivirus upptäcker detta hot som Ransom: Win32 / WannaCrypt så aktivera och uppdatera och kör Windows Defender Antivirus för att upptäcka denna ransomware.
6. Använd några Anti-WannaCry Ransomware-verktyg.
7. EternalBlue Vulnerability Checker är ett gratis verktyg som kontrollerar om din Windows-dator är sårbar för EternalBlue utnyttjar.
8. Inaktivera SMB1 med stegen dokumenterade på KB2696547.
9. Överväg att lägga till en regel på din router eller brandvägg till blockera inkommande SMB-trafik på port 445
10. Företagsanvändare kan använda Enhetsskydd för att låsa ner enheter och tillhandahålla virtualiseringsbaserad säkerhet på kärnnivå, så att endast tillförlitliga applikationer kan köras.

För att veta mer om detta ämne, läs Technet-bloggen.

WannaCrypt kan ha stoppats för nu, men du kan förvänta dig att en nyare variant kommer att slå mer rasande, så var säker och säker.

Microsoft Azure-kunder kanske vill läsa Microsofts råd om hur man undviker WannaCrypt Ransomware Threat.

UPPDATERING: WannaCry Ransomware Decryptors är tillgängliga. Under gynnsamma förhållanden, WannaKey och WanaKiwi, två dekrypteringsverktyg kan hjälpa till att dekryptera WannaCrypt eller WannaCry Ransomware-krypterade filer genom att hämta krypteringsnyckeln som används av ransomware.