Che cos'è WannaCrypt ransomware, come funziona e come stare al sicuro

Sommario:

Che cos'è WannaCrypt ransomware, come funziona e come stare al sicuro
Che cos'è WannaCrypt ransomware, come funziona e come stare al sicuro

Video: Che cos'è WannaCrypt ransomware, come funziona e come stare al sicuro

Video: Che cos'è WannaCrypt ransomware, come funziona e come stare al sicuro
Video: GIMP: open source per la grafica - YouTube 2024, Novembre
Anonim

WannaCrypt Ransomware, noto anche con il nome WannaCry, WanaCrypt0r o Wcrypt è un ransomware che si rivolge ai sistemi operativi Windows. Scoperto il 12esimo Maggio 2017, WannaCrypt è stato utilizzato in un grande attacco informatico e da allora ha infettato più di 230.000 PC Windows in 150 paesi. adesso.

Cos'è WannaCrypt ransomware

I successi iniziali di WannaCrypt includono il servizio sanitario nazionale britannico, la società spagnola di telecomunicazioni Telefónica e la società di logistica FedEx. Tale era la portata della campagna di ransomware che causò il caos negli ospedali del Regno Unito. Molti di loro hanno dovuto essere arrestati attivando la chiusura delle operazioni con breve preavviso, mentre lo staff è stato costretto a utilizzare carta e penna per il loro lavoro con i sistemi bloccati da Ransomware.
I successi iniziali di WannaCrypt includono il servizio sanitario nazionale britannico, la società spagnola di telecomunicazioni Telefónica e la società di logistica FedEx. Tale era la portata della campagna di ransomware che causò il caos negli ospedali del Regno Unito. Molti di loro hanno dovuto essere arrestati attivando la chiusura delle operazioni con breve preavviso, mentre lo staff è stato costretto a utilizzare carta e penna per il loro lavoro con i sistemi bloccati da Ransomware.

Come fa WannaCrypt ransomware a entrare nel tuo computer

Come evidente dai suoi attacchi in tutto il mondo, WannaCrypt ottiene per prima cosa l'accesso al sistema informatico tramite un allegato email e da allora in poi può diffondersi rapidamente attraverso LAN. Il ransomware può crittografare il disco rigido del sistema e tenta di sfruttare il Vulnerabilità SMB per diffondersi a computer casuali su Internet tramite porta TCP e tra computer sulla stessa rete.

Chi ha creato WannaCrypt

Non ci sono rapporti confermati su chi ha creato WannaCrypt nonostante WanaCrypt0r 2.0 sia il 2ND tentativo compiuto dai suoi autori. Il suo predecessore, Ransomware WeCry, è stato scoperto a febbraio di quest'anno e ha richiesto 0.1 Bitcoin per lo sblocco.

Attualmente, gli aggressori stanno usando l'exploit di Microsoft Windows Blu eterno che è stato presumibilmente creato dalla NSA. Questi strumenti sono stati segnalati come rubati e trapelati da un gruppo chiamato Shadow Broker.

Come si diffonde WannaCrypt

Questo Ransomware si diffonde utilizzando una vulnerabilità nelle implementazioni di Server Message Block (SMB) nei sistemi Windows. Questo exploit è chiamato come EternalBlue che secondo quanto riferito è stato rubato e abusato da un gruppo chiamato Shadow Broker.

È interessante notare che, EternalBlue è un'arma di hacking sviluppata dalla NSA per ottenere l'accesso e comandare i computer che eseguono Microsoft Windows. È stato specificamente progettato per l'unità di intelligence militare americana per ottenere l'accesso ai computer utilizzati dai terroristi.

WannaCrypt crea un vettore di entrata in macchine ancora prive di patch anche dopo che la correzione è diventata disponibile. WannaCrypt è indirizzato a tutte le versioni di Windows per cui non è stata eseguita la patch MS-17-010, che Microsoft ha rilasciato a marzo 2017 per Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows Server 2016.

Il modello di infezione comune include:

  • Arrivo tramite e-mail di social engineering progettate per indurre gli utenti a eseguire il malware e attivare la funzionalità di diffusione dei worm con l'exploit SMB. I rapporti dicono che il malware viene consegnato in un file infetto di Microsoft Word che viene inviato in un messaggio di posta elettronica, travestito da un'offerta di lavoro, una fattura o un altro documento pertinente.
  • Infezione tramite exploit SMB quando un computer non patchato può essere indirizzato in altre macchine infette

WannaCrypt è un dropper Trojan

Esporre le proprietà di un contagocce Trojan, WannaCrypt, tenta di connettere il dominio hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.], utilizzando l'API InternetOpenUrlA ():

Tuttavia, se la connessione ha esito positivo, la minaccia non infetta ulteriormente il sistema con ransomware o tenta di sfruttare altri sistemi per diffondersi; semplicemente ferma l'esecuzione. È solo quando la connessione fallisce, il dropper procede a rilasciare il ransomware e crea un servizio sul sistema.

Quindi, bloccando il dominio con il firewall sia a livello di ISP che a livello di rete aziendale, il ransomware continuerà a diffondere e crittografare i file.

Questo è esattamente il modo in cui un ricercatore di sicurezza ha effettivamente fermato l'epidemia di WannaCry Ransomware! Questo ricercatore ritiene che l'obiettivo di questo controllo del dominio fosse che il ransomware verificasse se era stato eseguito in una sandbox. Tuttavia, un altro ricercatore di sicurezza ha ritenuto che il controllo del dominio non fosse a conoscenza del proxy.

Quando eseguito, WannaCrypt crea le seguenti chiavi di registro:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Run = “ Tasksche.exe”
  • HKLM SOFTWARE WanaCrypt0r wd = "

Cambia lo sfondo in un messaggio di riscatto modificando la seguente chiave di registro:

Image
Image

HKCU Pannello di controllo Desktop Sfondo: " @ @ WanaDecryptor.bmp”

Il riscatto richiesto contro la chiave di decrittazione inizia con $ 300 Bitcoin che aumenta dopo ogni poche ore.

Estensioni di file infettate da WannaCrypt

WannaCrypt cerca l'intero computer per qualsiasi file con una delle seguenti estensioni di nomi di file:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Quindi li rinomina aggiungendo ".WNCRY" al nome del file

WannaCrypt ha capacità di diffusione rapida

La funzionalità worm in WannaCrypt consente di infettare le macchine Windows senza patch nella rete locale. Allo stesso tempo, esegue anche una massiccia scansione sugli indirizzi IP di Internet per trovare e infettare altri PC vulnerabili. Questa attività si traduce in grandi dati sul traffico SMB provenienti dall'host infetto e può essere facilmente monitorato dal personale SecOps.

Una volta che WannaCrypt infetta con successo una macchina vulnerabile, la utilizza per saltare sugli altri PC. Il ciclo prosegue ulteriormente, poiché il routing di scansione rileva i computer senza patch.

Come proteggersi da Wannacrypt

  1. Microsoft consiglia l'aggiornamento a Windows 10 in quanto dotato delle ultime funzionalità e attenuazioni proattive.
  2. Installa il aggiornamento della sicurezza MS17-010 rilasciato da Microsoft. La società ha anche rilasciato patch di sicurezza per versioni Windows non supportate come Windows XP, Windows Server 2003, ecc.
  3. Si consiglia agli utenti di Windows di essere estremamente cauti con l'e-mail di phishing e di essere molto attenti aprendo gli allegati di posta elettronica o facendo clic sui collegamenti Web.
  4. Rendere backup e tenerli saldamente
  5. Windows Defender Antivirus rileva questa minaccia come Ransom: Win32 / WannaCrypt quindi abilita, aggiorna ed esegui Windows Defender Antivirus per rilevare questo ransomware.
  6. Fare uso di alcuni Anti-WannaCry Ransomware Tools.
  7. EternalBlue Vulnerability Checker è uno strumento gratuito che controlla se il tuo computer Windows è vulnerabile Exploit EternalBlue.
  8. Disabilita SMB1 con i passaggi documentati KB2696547.
  9. Potresti aggiungere una regola al tuo router o firewall blocca il traffico SMB in entrata sulla porta 445
  10. Gli utenti aziendali possono usare Device Guard per bloccare i dispositivi e fornire sicurezza basata sulla virtualizzazione a livello kernel, consentendo l'esecuzione solo delle applicazioni affidabili.

Per saperne di più su questo argomento, leggi il blog di Technet.

WannaCrypt potrebbe essere stato fermato per ora, ma potresti aspettarti che una variante più recente colpisca più furiosamente, quindi stai al sicuro.

I clienti di Microsoft Azure potrebbero voler leggere i consigli di Microsoft su come evitare WannaCrypt Ransomware Threat.

AGGIORNARE: I decodificatori WannaCry Ransomware sono disponibili. In condizioni favorevoli, WannaKey e WanaKiwi, due strumenti di decrittografia possono aiutare a decifrare i file crittografati WannaCrypt o WannaCry Ransomware recuperando la chiave di crittografia utilizzata dal ransomware.

Consigliato: