Ransomware

Apa itu ransomware WannaCry, bagaimana ia berfungsi & bagaimana untuk tetap selamat

Apa itu ransomware WannaCry, bagaimana ia berfungsi & bagaimana untuk tetap selamat

WannaCry Ransomware, juga dikenali dengan nama WannaCrypt, WanaCrypt0r atau Wcrypt adalah ransomware yang mensasarkan sistem operasi Windows. Ditemui pada 12ika Mei 2017, WannaCrypt digunakan dalam serangan Cyber ​​yang besar dan sejak itu menjangkiti lebih dari 230,000 PC Windows di 150 negara. sekarang.

Apa itu ransomware WannaCry

Hit awal WannaCrypt termasuk Perkhidmatan Kesihatan Nasional UK, firma telekomunikasi Sepanyol Telefónica, dan firma logistik FedEx. Begitulah skala kampanye ransomware yang menyebabkan kekacauan di seluruh rumah sakit di Inggris Raya. Sebilangan besar dari mereka terpaksa ditutup memicu penutupan operasi dalam waktu singkat, sementara kakitangan terpaksa menggunakan pen dan kertas untuk pekerjaan mereka dengan sistem yang dikunci oleh Ransomware.

Bagaimana WannaCry ransomware masuk ke komputer anda

Seperti yang terbukti dari serangannya di seluruh dunia, WannaCrypt pertama kali mendapat akses ke sistem komputer melalui lampiran emel dan selepas itu dapat merebak dengan cepat melalui LAN. Ransomware boleh menyulitkan sistem cakera keras anda dan cuba memanfaatkannya Kerentanan SMB untuk menyebar ke komputer rawak di Internet melalui port TCP dan antara komputer di rangkaian yang sama.

Siapa yang mencipta WannaCry

Tidak ada laporan yang disahkan mengenai siapa yang telah membuat WannaCrypt walaupun WanaCrypt0r 2.0 kelihatan menjadi 2nd percubaan yang dilakukan oleh pengarangnya. Pendahulunya, Ransomware WeCry, ditemui pada Februari tahun ini dan menuntut 0.1 Bitcoin untuk membuka kunci.

Pada masa ini, penyerang dilaporkan menggunakan eksploitasi Microsoft Windows Biru Kekal yang didakwa dicipta oleh NSA. Alat-alat ini dilaporkan telah dicuri dan dibocorkan oleh kumpulan yang dipanggil Broker Bayangan.

Bagaimana WannaCry merebak

Ransomware ini menyebar dengan menggunakan kerentanan dalam implementasi Server Message Block (SMB) dalam sistem Windows. Eksploitasi ini dinamakan sebagai Kekal Abadi yang dilaporkan dicuri dan disalahgunakan oleh kumpulan yang dipanggil Broker Bayangan.

Menariknya, Kekal Abadi adalah senjata peretasan yang dikembangkan oleh NSA untuk mendapatkan akses dan perintah komputer yang menjalankan Microsoft Windows. Ia dirancang khusus untuk unit perisikan tentera Amerika untuk mendapatkan akses ke komputer yang digunakan oleh pengganas.

WannaCrypt membuat vektor kemasukan dalam mesin yang masih belum ditambatkan walaupun setelah pembaikan telah tersedia. WannaCrypt menyasarkan semua versi Windows yang tidak ditambal MS-17-010, yang dilancarkan oleh Microsoft pada bulan Mac 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.

Corak jangkitan biasa termasuk:

WannaCry adalah penitis Trojan

Memperlihatkan sifat milik Trojan, WannaCry, cuba menghubungkan domain hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, menggunakan API InternetOpenUrlA ():

Namun, jika sambungan berjaya, ancaman tidak akan menjangkiti sistem lebih jauh dengan ransomware atau cuba memanfaatkan sistem lain untuk menyebarkan; ia hanya menghentikan pelaksanaannya. Hanya apabila sambungan gagal, penitis terus menjatuhkan ransomware dan membuat perkhidmatan pada sistem.

Oleh itu, menyekat domain dengan firewall sama ada di peringkat ISP atau rangkaian perusahaan akan menyebabkan ransomware terus menyebarkan dan menyulitkan fail.

Ini adalah bagaimana penyelidik keselamatan benar-benar menghentikan wabak WannaCry Ransomware! Penyelidik ini merasakan bahawa tujuan pemeriksaan domain ini adalah untuk ransomware untuk memeriksa sama ada ia dijalankan di Sandbox. Walau bagaimanapun, seorang penyelidik keselamatan lain berpendapat bahawa pemeriksaan domain tidak menyedari proksi.

Apabila Dilaksanakan, WannaCrypt membuat kunci pendaftaran berikut:

Ia mengubah kertas dinding menjadi mesej tebusan dengan mengubah kunci pendaftaran berikut:

Tebusan yang diminta terhadap kunci penyahsulitan bermula dengan $ 300 Bitcoin yang meningkat selepas beberapa jam.

Sambungan fail dijangkiti oleh WannaCrypt

WannaCrypt mencari seluruh komputer untuk sebarang fail dengan mana-mana pelanjutan nama fail berikut: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dokumen , .js , .sk , .3dm , .jsp , .sh , .3ds , .kunci , .sldm , .3g2 , .berbaring , .sldm , .3gp , .berbaring6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maks , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .pertengahan , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .sandaran , .mp3 , .suo , .bakar , .mp4 , .svg , .kelawar , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .saya d , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .kelas , .ganjil , .tar , .cmd , .ganjil , .tbk , .cpp , .ganjil , .tgz , .crt , .ods , .tif , .cs , .ganjil , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .aduh , .db , .otg , .tidak , .dbf , .otp , .vb , .dch , .ots , .vbs , .der ” , .ott , .vcd , .dif , .hlm12 , .vdi , .celup , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .noktah , .php , .wav , .noktah , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .periuk , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .balang , .rar , .zip , .jawa , .mentah

Ia kemudian menamakannya dengan menambahkan ".WNCRY ”ke nama fail

WannaCry mempunyai kemampuan penyebaran pantas

Fungsi worm di WannaCry membolehkannya menjangkiti mesin Windows yang tidak ditambal di rangkaian tempatan. Pada masa yang sama, ia juga melakukan pengimbasan secara besar-besaran di alamat IP Internet untuk mencari dan menjangkiti PC lain yang rentan. Kegiatan ini menghasilkan data lalu lintas SMB yang besar yang berasal dari host yang dijangkiti, dan dapat dengan mudah dilacak oleh personel SecOps.

Setelah WannaCry berjaya menjangkiti mesin yang rentan, ia menggunakannya untuk melompat menjangkiti PC lain. Kitaran ini terus berlanjutan, kerana penghalaan pengimbasan menemui komputer yang belum ditambal.

Cara melindungi daripada WannaCry

  1. Microsoft mengesyorkan menaik taraf ke Windows 10 kerana dilengkapi dengan ciri-ciri terkini dan pengurangan proaktif.
  2. Pasang kemas kini keselamatan MS17-010 dikeluarkan oleh Microsoft. Syarikat itu juga telah mengeluarkan patch keselamatan untuk versi Windows yang tidak disokong seperti Windows XP, Windows Server 2003, dll.
  3. Pengguna Windows dinasihatkan untuk berhati-hati dengan e-mel Phishing dan sangat berhati-hati semasa membuka lampiran e-mel atau mengklik pada pautan web.
  4. Buat sandaran dan selamatkannya
  5. Windows Defender Antivirus mengesan ancaman ini sebagai Ransom: Win32 / WannaCrypt jadi aktifkan dan kemas kini dan jalankan Windows Defender Antivirus untuk mengesan ransomware ini.
  6. Manfaatkan beberapa Alat Ransomware Anti-WannaCry.
  7. Pemeriksa Kerentanan EternalBlue adalah alat percuma yang memeriksa apakah komputer Windows anda rentan Eksploitasi EternalBlue.
  8. Lumpuhkan SMB1 dengan langkah-langkah yang didokumentasikan di KB2696547.
  9. Pertimbangkan untuk menambahkan peraturan pada penghala atau firewall anda sekat lalu lintas SMB masuk di port 445
  10. Pengguna perusahaan mungkin menggunakan Pengawal Peranti untuk mengunci peranti dan memberikan keselamatan berasaskan virtualisasi peringkat kernel, yang hanya membolehkan aplikasi yang dipercayai berjalan.

Untuk mengetahui lebih lanjut mengenai topik ini, baca blog Technet.

WannaCrypt mungkin telah dihentikan buat masa ini, tetapi anda mungkin mengharapkan varian yang lebih baru menyerang dengan lebih marah, jadi tetap selamat dan terjamin.

Pelanggan Microsoft Azure mungkin ingin membaca nasihat Microsoft mengenai cara mencegah Ancaman WannaCrypt Ransomware.

KEMASKINI: WannaCry Ransomware Decryptors ada. Dalam keadaan yang baik, WannaKey dan WanaKiwi, dua alat penyahsulitan dapat membantu menyahsulitkan fail yang dienkripsi WannaCrypt atau WannaCry Ransomware dengan mengambil kunci penyulitan yang digunakan oleh ransomware.

5 Permainan Arcade Terbaik untuk Linux
Pada masa kini, komputer adalah mesin serius yang digunakan untuk permainan. Sekiranya anda tidak dapat memperoleh skor tinggi baru, anda akan tahu ma...
Battle For Wesnoth 1.13.6 Pembangunan Dikeluarkan
Battle For Wesnoth 1.13.6 dilancarkan bulan lalu, adalah rilis pengembangan keenam di 1.13.siri x dan memberikan sejumlah penambahbaikan, terutamanya ...
Cara Memasang League Of Legends di Ubuntu 14.04
Sekiranya anda peminat League of Legends, maka ini adalah peluang bagi anda untuk menguji menjalankan League of Legends. Perhatikan bahawa LOL disokon...