Kas yra „WannaCry“ išpirkos programa, kaip ji veikia ir kaip išlikti saugiam

„WannaCry Ransomware“, taip pat žinomi pavadinimais WannaCrypt, WanaCrypt0r arba Wcrypt yra išpirkos programa, skirta Windows operacinėms sistemoms. Atrasta 12 d^tūkst 2017 m. Gegužės mėn. „WannaCrypt“ buvo naudojama didelės kibernetinės atakos metu ir nuo to laiko ji užkrėtė daugiau nei 230 000 „Windows“ kompiuterių 150 šalių. dabar.

Kas yra „WannaCry“ išpirkos programa

Pradiniai „WannaCrypt“ hitai yra JK Nacionalinė sveikatos tarnyba, Ispanijos telekomunikacijų įmonė „Telefónica“ ir logistikos įmonė „FedEx“. Toks buvo išpirkos kampanijos mastas, kad ji sukėlė chaosą visose Jungtinės Karalystės ligoninėse. Daugelis jų turėjo būti uždaryti, greitai nutraukiant operacijas, o darbuotojai buvo priversti naudoti rašiklį ir popierių darbui su sistemomis, kurias užrakino „Ransomware“.

Kaip „WannaCry“ išpirkos programa patenka į jūsų kompiuterį

Kaip matyti iš pasaulinių išpuolių, „WannaCrypt“ pirmiausia gauna prieigą prie kompiuterio sistemos per pašto priedą ir vėliau gali greitai plisti LAN. Išpirkos programa gali užšifruoti jūsų sistemos standųjį diską ir bando išnaudoti SMB pažeidžiamumas išplisti į atsitiktinius kompiuterius internete per TCP prievadą ir tarp to paties tinklo kompiuterių.

Kas sukūrė „WannaCry“

Nėra patvirtintų pranešimų, kas sukūrė „WannaCrypt“, nors „WanaCrypt0r 2“.0 atrodo 2^nd autorių bandymas. Jo pirmtakas „Ransomware WeCry“ buvo atrastas dar šių metų vasario mėnesį ir pareikalavo 0.1 Bitcoin atrakinti.

Šiuo metu pranešama, kad užpuolikai naudoja „Microsoft Windows“ išnaudojimą Amžina mėlyna kurią esą sukūrė NSA. Pranešama, kad šiuos įrankius pavogė ir nutekino paskambinusi grupė Šešėlių brokeriai.

Kaip plinta „WannaCry“

Ši „Ransomware“ plinta naudojant „Windows Server“ serverio pranešimų bloko (SMB) diegimo pažeidžiamumą. Šis išnaudojimas vadinamas Amžinas mėlynas kurią, kaip pranešama, pavogė ir piktnaudžiavo paskambinusi grupė Šešėlių brokeriai.

Įdomu, Amžinas mėlynas yra įsilaužimo ginklas, kurį sukūrė NSA, norėdamas pasiekti ir valdyti kompiuterius, kuriuose veikia „Microsoft Windows“. Jis buvo specialiai sukurtas Amerikos karinės žvalgybos daliniui, kad jis galėtų pasiekti teroristų naudojamus kompiuterius.

„WannaCrypt“ sukuria įvesties vektorių mašinose, kurios vis dar nepašalintos, net ir tada, kai taisymas tapo prieinamas. „WannaCrypt“ taikoma visoms „Windows“ versijoms, kurios nebuvo užtaisytos MS-17-010, kurią „Microsoft“ 2017 m. kovo mėn. išleido „Windows Vista“, „Windows Server 2008“, „Windows 7“, „Windows Server 2008 R2“, „Windows 8“.1, „Windows RT 8“.1, „Windows Server 2012“, „Windows Server 2012 R2“, „Windows 10“ ir „Windows Server 2016“.

Bendras infekcijos modelis apima:

• Atvykimas per socialinės inžinerijos el. Laiškus, skirtus apgauti vartotojus paleisti kenkėjišką programą ir suaktyvinti kirminų platinimo funkciją naudojant SMB. Ataskaitose sakoma, kad kenkėjiška programa yra pristatoma užkrėstą „Microsoft Word“ failą kuris siunčiamas elektroniniu paštu, užmaskuotas kaip darbo pasiūlymas, sąskaita faktūra ar kitu aktualu dokumentu.
• Infekcija per SMB išnaudojama, kai nepataisytą kompiuterį galima spręsti kitose užkrėstose mašinose

„WannaCry“ yra „Trojan“ lašintuvas

Domeną bando sujungti „Trojan“ lašintuvo „WannaCry“ ypatybės hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, naudojant API InternetOpenUrlA ():

Tačiau jei prisijungimas yra sėkmingas, grėsmė neužkrės sistemos išpirkos programine įranga ar bandys išnaudoti kitas sistemas, kad išplistų; tai tiesiog sustabdo vykdymą. Tik tada, kai nepavyksta prisijungti, lašintuvas paleidžia išpirkos programą ir sukuria paslaugą sistemoje.

Taigi, užblokavus domeną ugniasienėmis tiek interneto paslaugų teikėjo, tiek įmonės tinklo lygiu, išpirkos programa toliau skleis ir šifruos failus.

Būtent taip saugumo tyrėjas iš tikrųjų sustabdė „WannaCry Ransomware“ protrūkį! Šis tyrėjas mano, kad šio domeno patikrinimo tikslas buvo išpirkos programa patikrinti, ar ji vykdoma „Sandbox“. Tačiau kitas saugumo tyrėjas manė, kad domeno tikrinimas nėra žinomas pagal įgaliojimą.

Vykdant „WannaCrypt“ sukuria šiuos registro raktus:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ = “\ taskche.exe “
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = "“

Tai pakeičia fono paveikslėlį į išpirkos pranešimą, pakeisdamas šį registro raktą:

• HKCU \ Control Panel \ Desktop \ Wallpaper: “\ @ [el. pašto saugoma] “

Išpirkimas, kurio prašoma iššifravimo rakto, prasideda 300 USD Bitcoin kuris didėja kas kelias valandas.

Failų plėtiniai, užkrėsti „WannaCrypt“

„WannaCrypt“ visame kompiuteryje ieško bet kokio failo su bet kuriuo iš šių failų pavadinimų plėtinių: .123, .JPEG , .rb , .602 , .JPG , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .Raktas , .sldm , .3g2 , .gulėti , .sldm , .3gp , .kloti6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .kv , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .vidurio , .stc , .asm , .mkv , .standartinis , .asp , .mml , .sti , .avi , .mov , .stw , .atsarginė kopija , .mp3 , .suo , .bak , .mp4 , .svg , .šikšnosparnis , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .pranešimas , .sxd , .bz2 , .myd , .sxi , .c , .Mano aš , .sxm , .cgm , .nef , .sxw , .klasė , .nelyginis , .degutas , .cmd , .keista , .tbk , .cpp , .odp , .tgz , .krt , .ods , .tif , .cs , .nelyginis , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der “ , .ott , .vcd , .dif , .12 , .vdi , .panardinti , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .taškas , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .1 savaitė , .dwg , .puodas , .sav , .edb , .potm , .wma , .eml , .puodai , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .stiklainiukas , .rar , .užtrauktukas , .java , .žalias

Tada jis juos pervadina pridėdamas „.WNCRY “į failo pavadinimą

„WannaCry“ turi greitą plitimo galimybę

„WannaCry“ sliekų funkcionalumas leidžia užkrėsti vietiniame tinkle nepašalintas „Windows“ mašinas. Tuo pačiu metu jis taip pat atlieka didžiulį interneto IP adresų nuskaitymą, kad surastų ir užkrėstų kitus pažeidžiamus kompiuterius. Dėl šios veiklos gaunami dideli SMB srauto duomenys iš užkrėstojo pagrindinio kompiuterio ir „SecOps“ darbuotojai gali juos lengvai stebėti.

Kai „WannaCry“ sėkmingai užkrės pažeidžiamą mašiną, ji ja naudojasi, kad užkrėstų kitus kompiuterius. Ciklas tęsiasi toliau, nes nuskaitymo maršrutas aptinka neužfiksuotus kompiuterius.

Kaip apsisaugoti nuo WannaCry

1. „Microsoft“ rekomenduoja naujovinimas į „Windows 10“ nes jame įdiegtos naujausios funkcijos ir aktyvūs švelninimo būdai.
2. Įdiekite saugos naujinimas MS17-010 išleido „Microsoft“. Bendrovė taip pat išleido nepalaikomų „Windows“ versijų, tokių kaip „Windows XP“, „Windows Server 2003“ ir kt., Saugos pataisas.
3. „Windows“ vartotojams rekomenduojama būti labai atsargiems dėl sukčiavimo el. Paštu ir būti labai atsargiems atidarę el. pašto priedus arba spustelėjus interneto nuorodas.
4. Padarykite atsargines kopijas ir saugiai juos laikykite
5. „Windows Defender Antivirus“ aptinka šią grėsmę kaip Išpirkos: Win32 / WannaCrypt taigi įgalinkite ir atnaujinkite bei paleiskite „Windows Defender Antivirus“, kad aptiktumėte šią išpirkos programą.
6. Pasinaudokite kai kuriais „Anti-WannaCry Ransomware Tools“.
7. „EternalBlue“ pažeidžiamumo tikrintuvas yra nemokamas įrankis, kuris patikrina, ar jūsų „Windows“ kompiuteris yra pažeidžiamas „EternalBlue“ išnaudojimas.
8. Išjungti SMB1 su veiksmais, užfiksuotais KB2696547.
9. Apsvarstykite galimybę pridėti maršrutizatoriaus ar užkardos taisyklę blokuoti gaunamą SMB srautą 445 uoste
10. Įmonės vartotojai gali naudoti „Device Guard“ užrakinti įrenginius ir suteikti branduolio lygio virtualizacijos saugumą, leidžiantį veikti tik patikimoms programoms.

Norėdami sužinoti daugiau apie šią temą, skaitykite „Technet“ tinklaraštį.

„WannaCrypt“ kol kas gali būti sustabdyta, tačiau galite tikėtis, kad naujesnis variantas smarkiau smogs, todėl būkite saugūs ir saugūs.

„Microsoft Azure“ klientai gali norėti perskaityti „Microsoft“ patarimus, kaip išvengti „WannaCrypt Ransomware Threat“.

ATNAUJINTI: Yra „WannaCry Ransomware Decryptors“. Palankiomis sąlygomis, WannaKey ir WanaKiwi, du iššifravimo įrankiai gali padėti iššifruoti „WannaCrypt“ arba „WannaCry Ransomware“ šifruotus failus, atgaunant šifravimo raktą, kurį naudoja išpirkos programa.