WannaCry Ransomware, juga dikenali dengan nama WannaCrypt, WanaCrypt0r atau Wcrypt adalah ransomware yang mensasarkan sistem operasi Windows. Ditemui pada 12ika Mei 2017, WannaCrypt digunakan dalam serangan Cyber yang besar dan sejak itu menjangkiti lebih dari 230,000 PC Windows di 150 negara. sekarang.
Apa itu ransomware WannaCry
Hit awal WannaCrypt termasuk Perkhidmatan Kesihatan Nasional UK, firma telekomunikasi Sepanyol Telefónica, dan firma logistik FedEx. Begitulah skala kampanye ransomware yang menyebabkan kekacauan di seluruh rumah sakit di Inggris Raya. Sebilangan besar dari mereka terpaksa ditutup memicu penutupan operasi dalam waktu singkat, sementara kakitangan terpaksa menggunakan pen dan kertas untuk pekerjaan mereka dengan sistem yang dikunci oleh Ransomware.
Bagaimana WannaCry ransomware masuk ke komputer anda
Seperti yang terbukti dari serangannya di seluruh dunia, WannaCrypt pertama kali mendapat akses ke sistem komputer melalui lampiran emel dan selepas itu dapat merebak dengan cepat melalui LAN. Ransomware boleh menyulitkan sistem cakera keras anda dan cuba memanfaatkannya Kerentanan SMB untuk menyebar ke komputer rawak di Internet melalui port TCP dan antara komputer di rangkaian yang sama.
Siapa yang mencipta WannaCry
Tidak ada laporan yang disahkan mengenai siapa yang telah membuat WannaCrypt walaupun WanaCrypt0r 2.0 kelihatan menjadi 2nd percubaan yang dilakukan oleh pengarangnya. Pendahulunya, Ransomware WeCry, ditemui pada Februari tahun ini dan menuntut 0.1 Bitcoin untuk membuka kunci.
Pada masa ini, penyerang dilaporkan menggunakan eksploitasi Microsoft Windows Biru Kekal yang didakwa dicipta oleh NSA. Alat-alat ini dilaporkan telah dicuri dan dibocorkan oleh kumpulan yang dipanggil Broker Bayangan.
Bagaimana WannaCry merebak
Ransomware ini menyebar dengan menggunakan kerentanan dalam implementasi Server Message Block (SMB) dalam sistem Windows. Eksploitasi ini dinamakan sebagai Kekal Abadi yang dilaporkan dicuri dan disalahgunakan oleh kumpulan yang dipanggil Broker Bayangan.
Menariknya, Kekal Abadi adalah senjata peretasan yang dikembangkan oleh NSA untuk mendapatkan akses dan perintah komputer yang menjalankan Microsoft Windows. Ia dirancang khusus untuk unit perisikan tentera Amerika untuk mendapatkan akses ke komputer yang digunakan oleh pengganas.
WannaCrypt membuat vektor kemasukan dalam mesin yang masih belum ditambatkan walaupun setelah pembaikan telah tersedia. WannaCrypt menyasarkan semua versi Windows yang tidak ditambal MS-17-010, yang dilancarkan oleh Microsoft pada bulan Mac 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.
Corak jangkitan biasa termasuk:
- Ketibaan melalui e-mel kejuruteraan sosial yang dirancang untuk menipu pengguna untuk menjalankan perisian hasad dan mengaktifkan fungsi penyebaran cacing dengan eksploitasi SMB. Laporan mengatakan bahawa perisian hasad dihantar dalam fail Microsoft Word yang dijangkiti yang dihantar dalam e-mel, menyamar sebagai tawaran pekerjaan, invois, atau dokumen lain yang berkaitan.
- Jangkitan melalui SMB mengeksploitasi apabila komputer yang tidak ditambal dapat ditangani di mesin yang dijangkiti lain
WannaCry adalah penitis Trojan
Memperlihatkan sifat milik Trojan, WannaCry, cuba menghubungkan domain hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, menggunakan API InternetOpenUrlA ():
Namun, jika sambungan berjaya, ancaman tidak akan menjangkiti sistem lebih jauh dengan ransomware atau cuba memanfaatkan sistem lain untuk menyebarkan; ia hanya menghentikan pelaksanaannya. Hanya apabila sambungan gagal, penitis terus menjatuhkan ransomware dan membuat perkhidmatan pada sistem.
Oleh itu, menyekat domain dengan firewall sama ada di peringkat ISP atau rangkaian perusahaan akan menyebabkan ransomware terus menyebarkan dan menyulitkan fail.
Ini adalah bagaimana penyelidik keselamatan benar-benar menghentikan wabak WannaCry Ransomware! Penyelidik ini merasakan bahawa tujuan pemeriksaan domain ini adalah untuk ransomware untuk memeriksa sama ada ia dijalankan di Sandbox. Walau bagaimanapun, seorang penyelidik keselamatan lain berpendapat bahawa pemeriksaan domain tidak menyedari proksi.
Apabila Dilaksanakan, WannaCrypt membuat kunci pendaftaran berikut:
- HKLM \ PERISIAN \ Microsoft \ Windows \ CurrentVersion \ Run \\
= " \ tugas tugas.exe ” - HKLM \ PERISIAN \ WanaCrypt0r \\ wd = "
" - HKLM \ PERISIAN \ WanaCrypt0r \\ wd = "
Ia mengubah kertas dinding menjadi mesej tebusan dengan mengubah kunci pendaftaran berikut:
- HKCU \ Control Panel \ Desktop \ Wallpaper: “
\ @ [dilindungi e-mel] "
Tebusan yang diminta terhadap kunci penyahsulitan bermula dengan $ 300 Bitcoin yang meningkat selepas beberapa jam.
Sambungan fail dijangkiti oleh WannaCrypt
WannaCrypt mencari seluruh komputer untuk sebarang fail dengan mana-mana pelanjutan nama fail berikut: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dokumen , .js , .sk , .3dm , .jsp , .sh , .3ds , .kunci , .sldm , .3g2 , .berbaring , .sldm , .3gp , .berbaring6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .pertengahan , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .sandaran , .mp3 , .suo , .bakar , .mp4 , .svg , .kelawar , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .saya d , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .kelas , .ganjil , .tar , .cmd , .ganjil , .tbk , .cpp , .ganjil , .tgz , .crt , .ods , .tif , .cs , .ganjil , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .aduh , .db , .otg , .tidak , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .hlm12 , .vdi , .celup , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .noktah , .php , .wav , .noktah , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .periuk , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .balang , .rar , .zip , .jawa , .mentah
Ia kemudian menamakannya dengan menambahkan ".WNCRY ”ke nama fail
WannaCry mempunyai kemampuan penyebaran pantas
Fungsi worm di WannaCry membolehkannya menjangkiti mesin Windows yang tidak ditambal di rangkaian tempatan. Pada masa yang sama, ia juga melakukan pengimbasan secara besar-besaran di alamat IP Internet untuk mencari dan menjangkiti PC lain yang rentan. Kegiatan ini menghasilkan data lalu lintas SMB yang besar yang berasal dari host yang dijangkiti, dan dapat dengan mudah dilacak oleh personel SecOps.
Setelah WannaCry berjaya menjangkiti mesin yang rentan, ia menggunakannya untuk melompat menjangkiti PC lain. Kitaran ini terus berlanjutan, kerana penghalaan pengimbasan menemui komputer yang belum ditambal.
Cara melindungi daripada WannaCry
- Microsoft mengesyorkan menaik taraf ke Windows 10 kerana dilengkapi dengan ciri-ciri terkini dan pengurangan proaktif.
- Pasang kemas kini keselamatan MS17-010 dikeluarkan oleh Microsoft. Syarikat itu juga telah mengeluarkan patch keselamatan untuk versi Windows yang tidak disokong seperti Windows XP, Windows Server 2003, dll.
- Pengguna Windows dinasihatkan untuk berhati-hati dengan e-mel Phishing dan sangat berhati-hati semasa membuka lampiran e-mel atau mengklik pada pautan web.
- Buat sandaran dan selamatkannya
- Windows Defender Antivirus mengesan ancaman ini sebagai Ransom: Win32 / WannaCrypt jadi aktifkan dan kemas kini dan jalankan Windows Defender Antivirus untuk mengesan ransomware ini.
- Manfaatkan beberapa Alat Ransomware Anti-WannaCry.
- Pemeriksa Kerentanan EternalBlue adalah alat percuma yang memeriksa apakah komputer Windows anda rentan Eksploitasi EternalBlue.
- Lumpuhkan SMB1 dengan langkah-langkah yang didokumentasikan di KB2696547.
- Pertimbangkan untuk menambahkan peraturan pada penghala atau firewall anda sekat lalu lintas SMB masuk di port 445
- Pengguna perusahaan mungkin menggunakan Pengawal Peranti untuk mengunci peranti dan memberikan keselamatan berasaskan virtualisasi peringkat kernel, yang hanya membolehkan aplikasi yang dipercayai berjalan.
Untuk mengetahui lebih lanjut mengenai topik ini, baca blog Technet.
WannaCrypt mungkin telah dihentikan buat masa ini, tetapi anda mungkin mengharapkan varian yang lebih baru menyerang dengan lebih marah, jadi tetap selamat dan terjamin.
Pelanggan Microsoft Azure mungkin ingin membaca nasihat Microsoft mengenai cara mencegah Ancaman WannaCrypt Ransomware.
KEMASKINI: WannaCry Ransomware Decryptors ada. Dalam keadaan yang baik, WannaKey dan WanaKiwi, dua alat penyahsulitan dapat membantu menyahsulitkan fail yang dienkripsi WannaCrypt atau WannaCry Ransomware dengan mengambil kunci penyulitan yang digunakan oleh ransomware.