WannaCry lunavara, tuntud ka nimede all WannaCrypt, WanaCrypt0r või Wcrypt on lunavara, mis on suunatud Windowsi opsüsteemidele. Avastatud 12. päevalth 2017. aasta mais kasutati WannaCryptit suures küberrünnakus ja see on hiljem nakatanud enam kui 230 000 Windowsi arvutit 150 riigis. nüüd.
Mis on WannaCry lunavara
WannaCrypti esialgsete hittide hulka kuuluvad Suurbritannia riiklik tervishoiuteenistus, Hispaania telekommunikatsioonifirma Telefónica ja logistikafirma FedEx. Selline oli lunavara kampaania ulatus, et see tekitas kaose Ühendkuningriigi haiglates. Paljud neist tuli sulgeda, käivitades operatsioonide sulgemise lühikese etteteatamisajaga, samas kui töötajad olid sunnitud kasutama pliiatsit ja paberit tööks Ransomware poolt lukustatud süsteemidega.
Kuidas WannaCry lunavara teie arvutisse jõuab
Nagu ilmneb ülemaailmsetest rünnakutest, saab WannaCrypt esmalt juurdepääsu arvutisüsteemile e-kirja manus ja seejärel saab kiiresti levida Kohtvõrk. Lunavara võib teie süsteemide kõvaketta krüptida ja üritab seda kasutada VKEde haavatavus levitada suvalistele arvutitele Internetis TCP-pordi kaudu ja sama võrgu arvutite vahel.
Kes lõi WannaCry
Puuduvad kinnitatud aruanded selle kohta, kes on WannaCrypt'i loonud, kuigi WanaCrypt0r 2.0 näib olevat 2nd selle autorite tehtud katse. Selle eelkäija Ransomware WeCry avastati selle aasta veebruaris ja nõudis 0.1 Bitcoin avamiseks.
Praegu kasutavad ründajad väidetavalt Microsoft Windowsi ärakasutamist Igavene sinine mille väidetavalt lõi NSA. Need tööriistad on väidetavalt varastatud ja lekitatud grupi nimega Varjumaaklerid.
Kuidas WannaCry levib
See lunavara levib, kasutades haavatavust Windowsi süsteemide Server Message Block (SMB) juurutamisel. Seda ärakasutamist nimetatakse IgaveneSinine mille väidetavalt varastas ja mida kuritarvitas grupp nimega Varjumaaklerid.
Huvitav, IgaveneSinine on häkkerelv, mille on välja töötanud NSA, et pääseda juurde Microsoft Windowsi töötavatele arvutitele ja neid käskida. See oli spetsiaalselt loodud Ameerika sõjaväeluureüksusele, et pääseda juurde terroristide kasutatavatele arvutitele.
WannaCrypt loob sisestusvektori masinatesse, mis on veel parandamata ka siis, kui parandus oli kättesaadavaks muutunud. WannaCrypt sihib kõiki Windowsi versioone, mida pole lappitud MS-17-010, mille Microsoft avaldas 2017. aasta märtsis Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 jaoks.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 ja Windows Server 2016.
Levinud nakkusmuster sisaldab:
- Saabumine sotsiaaltehnika e-kirjade kaudu, mis on mõeldud kasutajate meelitamiseks pahavara käitamiseks ja usside levitamise funktsiooni aktiveerimiseks SMB-ga. Aruannete kohaselt viiakse pahavara kohale nakatunud Microsoft Wordi fail mis saadetakse e-kirjaga, varjatuna tööpakkumise, arve või muu asjakohase dokumendina.
- SMB kaudu nakatumine kasutab ära, kui muudes nakatunud masinates saab parandamata arvuti lahendada
WannaCry on Trooja tilguti
Domeeni ühendamiseks proovib tilk-trooja WannaCry omadusi hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, kasutades API InternetOpenUrlA ():
Kui aga ühendus on edukas, ei nakata oht süsteemi enam lunavara abil ega püüa levitamiseks kasutada teisi süsteeme; see lihtsalt peatab täitmise. Alles siis, kui ühendus ebaõnnestub, jätkab tilguti lunavara ja loob süsteemis teenuse.
Seega põhjustab domeeni blokeerimine tulemüüriga kas Interneti-teenuse pakkuja või ettevõtte võrgu tasandil lunavara failide levitamist ja krüptimist.
Täpselt nii peatas turvauurija WannaCry Ransomware puhangu! See teadlane tunneb, et selle domeenikontrolli eesmärk oli lunavara kontrollida, kas seda käitatakse liivakastis. Teine turvauurija leidis, et domeenikontroll pole puhverserveri teadlik.
Kui see on täidetud, loob WannaCrypt järgmised registrivõtmed:
- HKLM \ TARKVARA \ Microsoft \ Windows \ CurrentVersion \ Run \\
= " \ taskche.exe ” - HKLM \ TARKVARA \ WanaCrypt0r \\ wd = "
” - HKLM \ TARKVARA \ WanaCrypt0r \\ wd = "
See muudab taustpildiks lunarataseteate, muutes järgmist registrivõtit:
- HKCU \ Control Panel \ Desktop \ Wallpaper: "
\ @ [meiliga kaitstud] "
Dekrüptovõtme vastu küsitud lunaraha algab 300 dollarit Bitcoin mis suureneb mõne tunni tagant.
WannaCryptiga nakatunud faililaiendid
WannaCrypt otsib kogu arvutist faile, millel on üks järgmistest failinimede laienditest: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .võti , .sldm , .3g2 , .lama , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .liituma , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .ruutmeetrit , .ARC , .mdb , .sqlite3 , .tõusma , .mdf , .sqlitedb , .asf , .keskel , .stc , .asm , .mkv , .standard , .asp , .mml , .sti , .avi , .mov , .stw , .varundamine , .mp3 , .suo , .bak , .mp4 , .svg , .nahkhiir , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .sõnum , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .klass , .kummaline , .tõrv , .cmd , .kummaline , .tbk , .cpp , .odp , .tgz , .krt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uup , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .lk 12 , .vdi , .kasta , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .täpp , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pott , .wks , .edb , .potm , .wma , .eml , .potis , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .purk , .rar , .tõmblukk , .java , .toores
Seejärel nimetab ta need ümber, lisades.WNCRY ”failinimele
WannaCryl on kiire levimisvõimalus
WannaCry ussifunktsioon võimaldab nakatada kohalikus võrgus olevaid parandamata Windowsi masinaid. Samal ajal teostab see ka Interneti-IP-aadresside massilist skannimist teiste haavatavate arvutite leidmiseks ja nakatamiseks. Selle tegevuse tulemuseks on nakatunud hostilt pärinevad suured SMB liiklusandmed ja SecOpsi töötajad saavad neid hõlpsasti jälgida.
Kui WannaCry nakatab haavatavat masinat edukalt, kasutab ta seda teiste arvutite nakatamiseks. Tsükkel jätkub edasi, kuna skannimise marsruutimine avastab parandamata arvutid.
Kuidas kaitsta WannaCry eest
- Microsoft soovitab uuendamine Windows 10-le kuna see on varustatud uusimate funktsioonide ja ennetavate leevendustega.
- Installige turbevärskendus MS17-010 välja andnud Microsoft. Ettevõte on välja andnud ka turvapaigad toetamata Windowsi versioonidele, nagu Windows XP, Windows Server 2003 jne.
- Windowsi kasutajatel soovitatakse olla andmepüügi suhtes väga ettevaatlik ja olla selle ajal väga ettevaatlik meilimanuste avamine või klõpsates veebilinkidel.
- Tegema varukoopiad ja hoidke neid kindlalt
- Windows Defenderi viirusetõrje tuvastab selle ohu kui Lunastus: Win32 / WannaCrypt nii et lunavara tuvastamiseks lubage ja värskendage ning käivitage Windows Defenderi viirusetõrje.
- Kasutage mõnda Anti-WannaCry lunavara tööriistad.
- EternalBlue haavatavuse kontrollija on tasuta tööriist, mis kontrollib, kas teie Windowsi arvuti on haavatav EternalBlue ära.
- Keela SMB1 toimingutega, mis on dokumenteeritud aadressil KB2696547.
- Kaaluge reegli lisamist ruuterisse või tulemüüri blokeerida sissetulev SMB liiklus pordis 445
- Ettevõtte kasutajad võivad kasutada Seadme valvur seadmete lukustamiseks ja kernelitasemel virtualiseerimispõhise turvalisuse pakkumiseks, lubades töötada ainult usaldusväärsetel rakendustel.
Selle teema kohta lisateabe saamiseks lugege Techneti ajaveebi.
WannaCrypt võib olla praegu peatatud, kuid võite eeldada, et uuem variant lööb raevukamalt, nii et olge turvaline ja turvaline.
Microsoft Azure'i kliendid võivad soovida lugeda Microsofti nõuandeid WannaCrypt lunavara ohu vältimiseks.
UUENDAMINE: Saadaval on WannaCry lunavara dekrüpteerijad. Soodsatel tingimustel, WannaKey ja WanaKiwi, kaks dekrüpteerimistööriista võivad aidata WannaCrypt või WannaCry Ransomware krüptitud faile dekrüpteerida, hankides lunavara kasutatava krüptovõtme.