Что такое программа-вымогатель WannaCry, как она работает и как обезопасить себя

WannaCry Ransomware, также известный под названиями WannaCrypt, WanaCrypt0r или Wcrypt - это программа-вымогатель, нацеленная на операционные системы Windows. Обнаружен 12^th В мае 2017 года WannaCrypt был использован в крупной кибератаке и с тех пор заразил более 230000 компьютеров с Windows в 150 странах. сейчас.

Что такое программа-вымогатель WannaCry

Первыми хитами WannaCrypt стали Национальная служба здравоохранения Великобритании, испанская телекоммуникационная компания Telefónica и логистическая компания FedEx. Масштабы кампании вымогателей были настолько велики, что они вызвали хаос в больницах Соединенного Королевства. Многие из них пришлось закрыть, что привело к закрытию операций в короткие сроки, а персонал был вынужден использовать ручку и бумагу для работы с системами, заблокированными программами-вымогателями.

Как вымогатель WannaCry попадает на ваш компьютер

Как видно из его всемирных атак, WannaCrypt сначала получает доступ к компьютерной системе через вложения электронной почты и после этого может быстро распространяться через LAN. Программа-вымогатель может зашифровать жесткий диск вашей системы и попытаться использовать Уязвимость SMB для распространения на случайные компьютеры в Интернете через порт TCP и между компьютерами в одной сети.

Кто создал WannaCry

Нет подтвержденных отчетов о том, кто создал WannaCrypt, хотя WanaCrypt0r 2.0 выглядит как 2^nd попытка его авторов. Его предшественник, программа-вымогатель WeCry, была обнаружена еще в феврале этого года и потребовала 0.1 биткойн для разблокировки.

Сообщается, что в настоящее время злоумышленники используют эксплойт Microsoft Windows Вечный синий который якобы был создан АНБ. Сообщается, что эти инструменты были украдены и слиты группой под названием Теневые брокеры.

Как распространяется WannaCry

Эта программа-вымогатель распространяется с помощью уязвимости в реализациях Server Message Block (SMB) в системах Windows. Этот эксплойт называется ВечныйСиний который, как сообщается, был украден и неправильно использован группой под названием Теневые брокеры.

что интересно, ВечныйСиний - это хакерское оружие, разработанное АНБ для получения доступа и управления компьютерами под управлением Microsoft Windows. Он был специально разработан для американской военной разведки, чтобы получить доступ к компьютерам, используемым террористами.

WannaCrypt создает вектор входа на машинах, которые все еще не исправлены, даже после того, как исправление стало доступным. WannaCrypt нацелен на все версии Windows, для которых не было исправлено МС-17-010, который Microsoft выпустила в марте 2017 г. для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 и Windows Server 2016.

Распространенная картина заражения включает:

• Получение через электронную почту социальной инженерии, предназначенную для обмана пользователей, чтобы запустить вредоносное ПО и активировать функцию распространения червей с помощью эксплойта SMB. В отчетах говорится, что вредоносное ПО доставляется в зараженный файл Microsoft Word отправленное по электронной почте, замаскированное под предложение работы, счет-фактуру или другой соответствующий документ.
• Заражение через эксплойт SMB, когда незащищенный компьютер может быть адресован на других зараженных машинах

WannaCry - троянская программа-дроппер

Показывая свойства троянца-дроппера WannaCry, пытается подключиться к домену hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, с помощью API InternetOpenUrlA ():

Однако, если соединение установлено, угроза больше не заражает систему с помощью программ-вымогателей и не пытается использовать другие системы для распространения; он просто останавливает выполнение. Только когда соединение не удается, дроппер сбрасывает программу-вымогатель и создает службу в системе.

Следовательно, блокирование домена с помощью брандмауэра на уровне интернет-провайдера или корпоративной сети приведет к тому, что программа-вымогатель продолжит распространение и шифрование файлов.

Именно так исследователь безопасности остановил эпидемию WannaCry Ransomware! Этот исследователь считает, что цель этой проверки домена заключалась в том, чтобы программа-вымогатель проверила, запускалась ли она в песочнице. Однако другой исследователь безопасности считает, что проверка домена не поддерживает прокси.

При выполнении WannaCrypt создает следующие разделы реестра:

• HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ знак равно\ tasksche.EXE"
• HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = «”

Он меняет обои на сообщение с требованием выкупа, изменяя следующий раздел реестра:

• HKCU \ Панель управления \ Рабочий стол \ Обои: «\ @ [электронная почта защищена] »

Выкуп за ключ дешифрования начинается с 300 долларов США в биткойнах который увеличивается каждые несколько часов.

Расширения файлов, зараженные WannaCrypt

WannaCrypt ищет на всем компьютере любой файл с любым из следующих расширений имени файла: .123, .jpeg , .rb , .602 , .jpg , .rtf , .док , .js , .щ , .3дм , .jsp , .ш , .3ds , .ключ , .sldm , .3g2 , .класть , .sldm , .3gp , .Lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .AES , .m4u , .СНТ , .ай , .Максимум , .sql , .ARC , .mdb , .sqlite3 , .asc , .мдф , .sqlitedb , .asf , .середина , .stc , .как м , .мкв , .стандартное , .жерех , .ммл , .sti , .avi , .mov , .stw , .резервное копирование , .mp3 , .suo , .бак , .mp4 , .svg , .летучая мышь , .mpeg , .swf , .BMP , .миль на галлон , .sxc , .brd , .сообщение , .sxd , .bz2 , .myd , .sxi , .c , .мое я , .sxm , .cgm , .неф , .sxw , .класс , .odb , .деготь , .cmd , .odg , .tbk , .cpp , .odp , .тгз , .crt , .оды , .тиф , .CS , .odt , .размолвка , .csr , .onetoc2 , .текст , .csv , .ост , .уп , .db , .otg , .уот , .dbf , .отп , .vb , .dch , .ots , .vbs , .дер » , .отт , .vcd , .дифф , .p12 , .vdi , .окунать , .PAQ , .vmdk , .djvu , .па , .vmx , .докб , .pdf , .vob , .документ , .pem , .vsd , .docx , .pfx , .vsdx , .точка , .php , .wav , .dotm , .pl , .wb2 , .dotx , .PNG , .неделя 1 , .dwg , .горшок , .нед , .edb , .Potm , .WMA , .eml , .potx , .WMV , .fla , .ppam , .xlc , .flv , .pps , .XLM , .от , .ppsm , .xls , .гифка , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .час , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .Тихоокеанское стандартное время , .xlw , .банка , .рар , .застегивать , .Ява , .сырой

Затем он переименовывает их, добавляя ".WNCRY »к имени файла

WannaCry имеет возможность быстрого нанесения

Функциональность червя в WannaCry позволяет ему заражать непропатченные машины Windows в локальной сети. В то же время он также выполняет массовое сканирование IP-адресов в Интернете для поиска и заражения других уязвимых компьютеров. Эта активность приводит к тому, что с зараженного хоста поступает большой объем данных SMB-трафика, и сотрудники службы безопасности могут легко отследить ее.

Как только WannaCry успешно заражает уязвимую машину, он использует ее, чтобы заразить другие ПК. Цикл далее продолжается, поскольку маршрутизация сканирования обнаруживает непропатченные компьютеры.

Как защититься от WannaCry

1. Microsoft рекомендует обновление до Windows 10 поскольку он оснащен новейшими функциями и профилактическими мерами.
2. Установите обновление безопасности MS17-010 выпущен Microsoft. Компания также выпустила исправления безопасности для неподдерживаемых версий Windows, таких как Windows XP, Windows Server 2003 и т. Д.
3. Пользователям Windows рекомендуется очень осторожно относиться к фишинговым письмам и быть очень осторожными при их использовании открытие вложений электронной почты или нажав на веб-ссылки.
4. Делать резервные копии и храните их в надежном месте
5. Антивирус Защитника Windows обнаруживает эту угрозу как Выкуп: Win32 / WannaCrypt поэтому включите, обновите и запустите антивирус Защитника Windows, чтобы обнаружить эту программу-вымогатель.
6. Используйте некоторые Инструменты для защиты от программ-вымогателей WannaCry.
7. EternalBlue Vulnerability Checker - это бесплатный инструмент, который проверяет, уязвим ли ваш компьютер Windows для EternalBlue эксплойт.
8. Отключить SMB1 с шагами, описанными в KB2696547.
9. Рассмотрите возможность добавления правила на вашем маршрутизаторе или брандмауэре в блокировать входящий SMB-трафик на порт 445
10. Корпоративные пользователи могут использовать Устройство Guard для блокировки устройств и обеспечения безопасности на основе виртуализации на уровне ядра, позволяя запускать только доверенные приложения.

Чтобы узнать больше по этой теме, прочтите блог Technet.

WannaCrypt, возможно, на данный момент остановлен, но вы можете ожидать, что новый вариант будет более яростным, так что оставайтесь в безопасности.

Клиенты Microsoft Azure могут захотеть прочитать советы Microsoft о том, как предотвратить угрозу WannaCrypt Ransomware.

ОБНОВИТЬ: Доступны дешифраторы программ-вымогателей WannaCry. При благоприятных условиях, WannaKey а также WanaKiwi, два инструмента дешифрования могут помочь расшифровать файлы, зашифрованные WannaCrypt или WannaCry Ransomware, получив ключ шифрования, используемый программой-вымогателем.