Шта је ВаннаЦри рансомваре, како функционише и како бити сигуран

ВаннаЦри Рансомваре, познат и под именима ВаннаЦрипт, ВанаЦрипт0р или Вцрипт је рансомваре који циља Виндовс оперативне системе. Откривен 12^тх Маја 2017. године, ВаннаЦрипт је коришћен у великом цибер-нападу и од тада је заразио више од 230.000 Виндовс рачунара у 150 земаља. Сада.

Шта је ВаннаЦри рансомваре

Почетни хитови ВаннаЦрипт укључују британску Националну здравствену службу, шпанску телекомуникациону компанију Телефоница и логистичку компанију ФедЕк. Таква је била размера кампање откупнине која је изазвала хаос у болницама у Уједињеном Краљевству. Многи од њих морали су да буду затворени покрећући затварање операција у кратком року, док је особље било приморано да користи оловку и папир за свој рад са системима које закључава Рансомваре.

Како ВаннаЦри рансомваре улази у ваш рачунар

Као што је видљиво из његових напада широм света, ВаннаЦрипт прво добија приступ рачунарском систему путем е-маил прилог а након тога се може брзо проширити кроз ЛАН. Рансомваре може да шифрира чврсти диск вашег система и покушава да га искористи СМБ рањивост да се шири на случајне рачунаре на Интернету преко ТЦП порта и између рачунара у истој мрежи.

Ко је створио ВаннаЦри

Не постоје потврђени извештаји о томе ко је створио ВаннаЦрипт иако ВанаЦрипт0р 2.Изгледа да је 0^нд покушај његових аутора. Његов претходник, Рансомваре ВеЦри, откривен је још у фебруару ове године и захтевао је 0.1 Битцоин за откључавање.

Тренутно нападачи наводно користе Мицрософт Виндовс екплоит Етернал Блуе коју је наводно створила НСА. Ове алате је украла и процурила у групу тзв Брокер сенки.

Како се ВаннаЦри шири

Овај Рансомваре се шири користећи рањивост у имплементацијама Сервер Мессаге Блоцк (СМБ) у Виндовс системима. Овај подвиг је именован као ЕтерналБлуе коју је, наводно, украла и злоупотребила група тзв Брокер сенки.

Занимљиво, ЕтерналБлуе је хакерско оружје које је развила НСА да би добила приступ и командовала рачунарима који раде под оперативним системом Мицрософт Виндовс. Специјално је дизајниран за америчку војну обавештајну јединицу како би добио приступ рачунарима које користе терористи.

ВаннаЦрипт креира вектор уноса на машинама које још увек нису закрпане чак и након што је поправак постао доступан. ВаннаЦрипт циља све верзије оперативног система Виндовс за које нису закрпе МС-17-010, који је Мицрософт објавио у марту 2017. за Виндовс Виста, Виндовс Сервер 2008, Виндовс 7, Виндовс Сервер 2008 Р2, Виндовс 8.1, Виндовс РТ 8.1, Виндовс Сервер 2012, Виндовс Сервер 2012 Р2, Виндовс 10 и Виндовс Сервер 2016.

Уобичајени образац инфекције укључује:

• Долазак путем е-маила социјалног инжењеринга дизајнираних да преваре кориснике да покрену малвер и активирају функцију ширења црва помоћу СМБ екплоита. Извештаји кажу да се злонамерни софтвер испоручује у заражена датотека Мицрософт Ворд који се шаље е-поштом, прерушен у понуду за посао, фактуру или други релевантан документ.
• Инфекција путем СМБ експлоатације када се непрширени рачунар може адресирати на другим зараженим машинама

ВаннаЦри је тројански капаљка

Показујући својства тројанца дроппер-а, ВаннаЦри, покушава да повеже домен хккп: // ввв [.] иукерфсодп9ифјапосдфјхгосуријфаеврвергвеа [.] цом, користећи АПИ ИнтернетОпенУрлА ():

Међутим, ако је веза успешна, претња не заражава систем даље рансомваре-ом или покушава да искористи друге системе за ширење; једноставно зауставља извршење. Тек када веза не успе, капаљка настави да испушта рансомваре и креира услугу на систему.

Због тога ће блокирање домена заштитним зидом на нивоу ИСП-а или на нивоу мрежне мреже предузећа проузроковати да рансомваре настави са ширењем и шифровањем датотека.

Управо је на тај начин истраживач безбедности заправо зауставио избијање ВаннаЦри Рансомваре-а! Овај истраживач сматра да је циљ ове провере домена био да рансомваре провери да ли се покреће у заштићеном окружењу. Међутим, други истраживач безбедности сматрао је да провера домена није свесна проки сервера.

Када се изврши, ВаннаЦрипт креира следеће кључеве регистратора:

• ХКЛМ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун \\ = “\ таскцхе.еке ”
• ХКЛМ \ СОФТВЕР \ ВанаЦрипт0р \\ вд = “”

Мења позадину у откупну поруку мењањем следећег кључа регистратора:

• ХКЦУ \ Цонтрол Панел \ Десктоп \ Валлпапер: “\ @ [емаил заштићен] ”

Откупнина која се тражи за кључ за дешифровање почиње са $ 300 Битцоин која се повећава након сваких неколико сати.

Екстензије датотека заражене ВаннаЦрипт

ВаннаЦрипт претражује било који фајл са било којим од следећих наставка назива датотеке на целом рачунару: .123, .јпег , .рб , .602 , .јпг , .ртф , .доц , .јс , .сцх , .3дм , .јсп , .сх , .3дс , .кључ , .слдм , .3г2 , .лежао , .слдм , .3гп , .лаи6 , .слдк , .7з , .лдф , .слк , .аццдб , .м3у , .слн , .аес , .м4у , .снт , .аи , .макс , .скл , .АРЦ , .мдб , .склите3 , .узлазно , .мдф , .склитедб , .асф , .сред , .стц , .асм , .мкв , .стд , .асп , .ммл , .сти , .ави , .мов , .ств , .резервна копија , .мп3 , .суо , .бак , .мп4 , .свг , .шишмиш , .мпег , .свф , .бмп , .мпг , .скц , .брд , .мсг , .скд , .бз2 , .мој Д , .ски , .ц , .И моја , .скм , .цгм , .неф , .скв , .класа , .одб , .катран , .цмд , .одг , .тбк , .цпп , .одп , .тгз , .црт , .одс , .тиф , .цс , .одт , .тифф , .цср , .онетоц2 , .ткт , .цсв , .ост , .уоп , .дб , .отг , .уот , .дбф , .отп , .вб , .дцх , .отс , .вбс , .дер ” , .отт , .вцд , .диф , .п12 , .вди , .дип , .ПАК , .вмдк , .дјву , .пас , .вмк , .доцб , .пдф , .воб , .доцм , .пем , .всд , .доцк , .пфк , .всдк , .тачка , .пхп , .вав , .дотм , .пл , .вб2 , .дотк , .пнг , .вк1 , .двг , .лонац , .недеља , .едб , .потм , .вма , .емл , .потк , .вмв , .фла , .ппам , .клц , .флв , .ппс , .клм , .фрм , .ппсм , .клс , .гиф , .ппск , .клсб , .гпг , .ппт , .клсм , .гз , .пптм , .клск , .х , .пптк , .клт , .хвп , .пс1 , .клтм , .ибд , .псд , .клтк , .исо , .пст , .клв , .тегла , .рар , .зип , .јава , .сиров

Затим их преименује додавањем „.ВНЦРИ “на име датотеке

ВаннаЦри има способност брзог ширења

Функционалност црва у програму ВаннаЦри омогућава му да зарази неуправљене Виндовс машине у локалној мрежи. Истовремено, такође извршава масовно скенирање ИП адреса са Интернета како би пронашао и заразио друге рањиве рачунаре. Ова активност резултира великим подацима о СМБ саобраћају који долазе са зараженог хоста и особље СецОпс их може лако пратити.

Једном када ВаннаЦри успешно зарази рањиву машину, користи је да скочи да зарази друге рачунаре. Циклус се даље наставља, јер усмјеравање скенирања открива неуправљене рачунаре.

Како се заштитити од ВаннаЦри-а

1. Мицрософт препоручује надоградња на Виндовс 10 јер је опремљен најновијим функцијама и проактивним ублажавањем.
2. Инсталирајте безбедносно ажурирање МС17-010 објавио Мицрософт. Компанија је такође објавила безбедносне закрпе за неподржане верзије оперативног система Виндовс, као што су Виндовс КСП, Виндовс Сервер 2003 итд.
3. Корисницима Виндовс-а саветује се да буду изузетно опрезни у вези са пхисхинг е-поштом и да буду веома опрезни отварање прилога е-поште или кликом на веб-линкове.
4. Направити резервне копије и чувајте их сигурно
5. Виндовс Дефендер Антивирус открива ову претњу као Откупнина: Вин32 / ВаннаЦрипт па омогућите и ажурирајте и покрените Виндовс Дефендер Антивирус да бисте открили овај рансомваре.
6. Искористите неке Рансомваре алати против ВаннаЦри.
7. ЕтерналБлуе Вулнерабилити Цхецкер је бесплатан алат који проверава да ли је ваш Виндовс рачунар рањив ЕтерналБлуе екплоит.
8. Онемогући СМБ1 са корацима документованим на КБ2696547.
9. Размислите о додавању правила на вашем рутеру или заштитном зиду блокирати долазни СМБ саобраћај на порту 445
10. Корисници предузећа могу да користе Девице Гуард да закључају уређаје и обезбеде сигурност засновану на виртуелизацији на нивоу језгра, омогућавајући покретање само поузданих апликација.

Да бисте сазнали више о овој теми, прочитајте Тецхнет блог.

ВаннаЦрипт је можда засад заустављен, али можете очекивати да ће новија варијанта ударати жешће, па будите сигурни и сигурни.

Корисници Мицрософт Азуре-а можда ће желети да прочитају Мицрософт-ове савете о томе како да спрече ВаннаЦрипт Рансомваре претњу.

АЖУРИРАЊЕ: ВаннаЦри Рансомваре Децрипторс су доступни. Под повољним условима, ВаннаКеи и ВанаКиви, два алата за дешифровање могу помоћи у дешифровању шифрованих датотека ВаннаЦрипт или ВаннаЦри Рансомваре преузимањем кључа за шифровање који користи рансомваре.