WannaCrypt Ransomware, noto anche con il nome WannaCry, WanaCrypt0r o Wcrypt è un ransomware che si rivolge ai sistemi operativi Windows. Scoperto il 12esimo Maggio 2017, WannaCrypt è stato utilizzato in un grande attacco informatico e da allora ha infettato più di 230.000 PC Windows in 150 paesi. adesso.
Cos'è WannaCrypt ransomware
Come fa WannaCrypt ransomware a entrare nel tuo computer
Come evidente dai suoi attacchi in tutto il mondo, WannaCrypt ottiene per prima cosa l'accesso al sistema informatico tramite un allegato email e da allora in poi può diffondersi rapidamente attraverso LAN. Il ransomware può crittografare il disco rigido del sistema e tenta di sfruttare il Vulnerabilità SMB per diffondersi a computer casuali su Internet tramite porta TCP e tra computer sulla stessa rete.
Chi ha creato WannaCrypt
Non ci sono rapporti confermati su chi ha creato WannaCrypt nonostante WanaCrypt0r 2.0 sia il 2ND tentativo compiuto dai suoi autori. Il suo predecessore, Ransomware WeCry, è stato scoperto a febbraio di quest'anno e ha richiesto 0.1 Bitcoin per lo sblocco.
Attualmente, gli aggressori stanno usando l'exploit di Microsoft Windows Blu eterno che è stato presumibilmente creato dalla NSA. Questi strumenti sono stati segnalati come rubati e trapelati da un gruppo chiamato Shadow Broker.
Come si diffonde WannaCrypt
Questo Ransomware si diffonde utilizzando una vulnerabilità nelle implementazioni di Server Message Block (SMB) nei sistemi Windows. Questo exploit è chiamato come EternalBlue che secondo quanto riferito è stato rubato e abusato da un gruppo chiamato Shadow Broker.
È interessante notare che, EternalBlue è un'arma di hacking sviluppata dalla NSA per ottenere l'accesso e comandare i computer che eseguono Microsoft Windows. È stato specificamente progettato per l'unità di intelligence militare americana per ottenere l'accesso ai computer utilizzati dai terroristi.
WannaCrypt crea un vettore di entrata in macchine ancora prive di patch anche dopo che la correzione è diventata disponibile. WannaCrypt è indirizzato a tutte le versioni di Windows per cui non è stata eseguita la patch MS-17-010, che Microsoft ha rilasciato a marzo 2017 per Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows Server 2016.
Il modello di infezione comune include:
- Arrivo tramite e-mail di social engineering progettate per indurre gli utenti a eseguire il malware e attivare la funzionalità di diffusione dei worm con l'exploit SMB. I rapporti dicono che il malware viene consegnato in un file infetto di Microsoft Word che viene inviato in un messaggio di posta elettronica, travestito da un'offerta di lavoro, una fattura o un altro documento pertinente.
- Infezione tramite exploit SMB quando un computer non patchato può essere indirizzato in altre macchine infette
WannaCrypt è un dropper Trojan
Esporre le proprietà di un contagocce Trojan, WannaCrypt, tenta di connettere il dominio hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.], utilizzando l'API InternetOpenUrlA ():
Tuttavia, se la connessione ha esito positivo, la minaccia non infetta ulteriormente il sistema con ransomware o tenta di sfruttare altri sistemi per diffondersi; semplicemente ferma l'esecuzione. È solo quando la connessione fallisce, il dropper procede a rilasciare il ransomware e crea un servizio sul sistema.
Quindi, bloccando il dominio con il firewall sia a livello di ISP che a livello di rete aziendale, il ransomware continuerà a diffondere e crittografare i file.
Questo è esattamente il modo in cui un ricercatore di sicurezza ha effettivamente fermato l'epidemia di WannaCry Ransomware! Questo ricercatore ritiene che l'obiettivo di questo controllo del dominio fosse che il ransomware verificasse se era stato eseguito in una sandbox. Tuttavia, un altro ricercatore di sicurezza ha ritenuto che il controllo del dominio non fosse a conoscenza del proxy.
Quando eseguito, WannaCrypt crea le seguenti chiavi di registro:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ Tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = "
”
Cambia lo sfondo in un messaggio di riscatto modificando la seguente chiave di registro:
HKCU Pannello di controllo Desktop Sfondo: " @ @ WanaDecryptor.bmp”
Il riscatto richiesto contro la chiave di decrittazione inizia con $ 300 Bitcoin che aumenta dopo ogni poche ore.
Estensioni di file infettate da WannaCrypt
WannaCrypt cerca l'intero computer per qualsiasi file con una delle seguenti estensioni di nomi di file:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Quindi li rinomina aggiungendo ".WNCRY" al nome del file
WannaCrypt ha capacità di diffusione rapida
La funzionalità worm in WannaCrypt consente di infettare le macchine Windows senza patch nella rete locale. Allo stesso tempo, esegue anche una massiccia scansione sugli indirizzi IP di Internet per trovare e infettare altri PC vulnerabili. Questa attività si traduce in grandi dati sul traffico SMB provenienti dall'host infetto e può essere facilmente monitorato dal personale SecOps.
Una volta che WannaCrypt infetta con successo una macchina vulnerabile, la utilizza per saltare sugli altri PC. Il ciclo prosegue ulteriormente, poiché il routing di scansione rileva i computer senza patch.
Come proteggersi da Wannacrypt
- Microsoft consiglia l'aggiornamento a Windows 10 in quanto dotato delle ultime funzionalità e attenuazioni proattive.
- Installa il aggiornamento della sicurezza MS17-010 rilasciato da Microsoft. La società ha anche rilasciato patch di sicurezza per versioni Windows non supportate come Windows XP, Windows Server 2003, ecc.
- Si consiglia agli utenti di Windows di essere estremamente cauti con l'e-mail di phishing e di essere molto attenti aprendo gli allegati di posta elettronica o facendo clic sui collegamenti Web.
- Rendere backup e tenerli saldamente
- Windows Defender Antivirus rileva questa minaccia come Ransom: Win32 / WannaCrypt quindi abilita, aggiorna ed esegui Windows Defender Antivirus per rilevare questo ransomware.
- Fare uso di alcuni Anti-WannaCry Ransomware Tools.
- EternalBlue Vulnerability Checker è uno strumento gratuito che controlla se il tuo computer Windows è vulnerabile Exploit EternalBlue.
- Disabilita SMB1 con i passaggi documentati KB2696547.
- Potresti aggiungere una regola al tuo router o firewall blocca il traffico SMB in entrata sulla porta 445
- Gli utenti aziendali possono usare Device Guard per bloccare i dispositivi e fornire sicurezza basata sulla virtualizzazione a livello kernel, consentendo l'esecuzione solo delle applicazioni affidabili.
Per saperne di più su questo argomento, leggi il blog di Technet.
WannaCrypt potrebbe essere stato fermato per ora, ma potresti aspettarti che una variante più recente colpisca più furiosamente, quindi stai al sicuro.
I clienti di Microsoft Azure potrebbero voler leggere i consigli di Microsoft su come evitare WannaCrypt Ransomware Threat.
AGGIORNARE: I decodificatori WannaCry Ransomware sono disponibili. In condizioni favorevoli, WannaKey e WanaKiwi, due strumenti di decrittografia possono aiutare a decifrare i file crittografati WannaCrypt o WannaCry Ransomware recuperando la chiave di crittografia utilizzata dal ransomware.