WannaCry-Ransomware, auch bekannt unter den Namen WannaCrypt, WanaCrypt0r oder Wcrypt, ist eine Ransomware, die auf Windows-Betriebssysteme abzielt. Entdeckt am 12th Mai 2017 wurde WannaCrypt bei einem großen Cyber-Angriff verwendet und hat es seitdem getan mehr als 230.000 Windows-PCs in 150 Ländern infiziert. jetzt.
Was ist WannaCry-Ransomware
Zu den ersten Erfolgen von WannaCrypt gehören der britische National Health Service, das spanische Telekommunikationsunternehmen Telefónica und das Logistikunternehmen FedEx. Die Ransomware-Kampagne war so groß, dass sie in Krankenhäusern im Vereinigten Königreich für Chaos sorgte. Viele von ihnen mussten heruntergefahren werden, was kurzfristige Betriebsschließungen auslöste, während die Mitarbeiter gezwungen waren, Stift und Papier für ihre Arbeit zu verwenden, da die Systeme durch Ransomware gesperrt waren.
Wie gelangt WannaCry-Ransomware auf Ihren Computer?
Wie aus seinen weltweiten Angriffen hervorgeht, verschafft sich WannaCrypt zunächst über einen Zugriff auf das Computersystem Email Anhang und kann sich danach schnell ausbreiten LAN. Die Ransomware kann die Festplatte Ihres Systems verschlüsseln und versucht, dies auszunutzen SMB-Schwachstelle über den TCP-Port auf zufällige Computer im Internet und zwischen Computern im selben Netzwerk zu verbreiten.
Wer hat WannaCry entwickelt?
Es gibt keine bestätigten Berichte darüber, wer WannaCrypt erstellt hat, obwohl WanaCrypt0r 2.0 anscheinend die 2nd Versuch seiner Autoren. Ihr Vorgänger, die Ransomware WeCry, wurde bereits im Februar dieses Jahres entdeckt und verlangte 0,1 Bitcoin zum Entsperren.
Derzeit verwenden die Angreifer Berichten zufolge Microsoft Windows-Exploit Ewiges Blau die angeblich von der NSA erstellt wurde. Diese Tools wurden Berichten zufolge von einer Gruppe namens gestohlen und durchgesickert Schattenmakler.
Wie verbreitet sich WannaCry?
Diese Ransomware verbreitet sich über eine Schwachstelle in Implementierungen von Server Message Block (SMB) in Windows-Systemen. Dieser Exploit trägt den Namen Ewiges Blau die Berichten zufolge von einer Gruppe namens gestohlen und missbraucht wurde Schattenmakler.
Interessant, Ewiges Blau ist eine Hacking-Waffe, die von der NSA entwickelt wurde, um Zugriff auf Computer mit Microsoft Windows zu erlangen und diese zu steuern. Es wurde speziell für den amerikanischen Militärgeheimdienst entwickelt, um Zugang zu den von den Terroristen verwendeten Computern zu erhalten.
WannaCrypt erstellt einen Entry-Vektor auf Rechnern, die noch nicht gepatcht sind, selbst nachdem der Fix verfügbar wurde. WannaCrypt zielt auf alle Windows-Versionen ab, die nicht gepatcht wurden MS-17-010das Microsoft im März 2017 für Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016 veröffentlicht hat.
Das häufige Infektionsmuster umfasst:
- Eingang durch Social-Engineering-E-Mails, die Benutzer dazu verleiten sollen, die Malware auszuführen und die Wurmverbreitungsfunktion mit dem SMB-Exploit zu aktivieren. Berichten zufolge wird die Malware in einer infizierte Microsoft Word-Datei die in einer E-Mail verschickt werden, die als Stellenangebot, Rechnung oder ein anderes relevantes Dokument getarnt ist.
- Infektion durch SMB-Exploit, wenn ein nicht gepatchter Computer von anderen infizierten Computern angesprochen werden kann
WannaCry ist ein Trojaner-Dropper
Mit den Eigenschaften eines Dropper-Trojaners, WannaCry, versucht er, sich mit der Domäne zu verbinden hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]commit der API InternetOpenUrlA():
Wenn die Verbindung jedoch erfolgreich ist, infiziert die Bedrohung das System nicht weiter mit Ransomware oder versucht, andere Systeme auszunutzen, um sich zu verbreiten; es stoppt einfach die Ausführung. Erst wenn die Verbindung fehlschlägt, fährt der Dropper mit dem Löschen der Ransomware fort und erstellt einen Dienst auf dem System.
Daher führt das Blockieren der Domäne mit einer Firewall entweder auf der Ebene des ISP oder des Unternehmensnetzwerks dazu, dass die Ransomware weiterhin Dateien verbreitet und verschlüsselt.
Genau so war ein Sicherheitsforscher tatsächlich den WannaCry-Ransomware-Ausbruch gestoppt! Dieser Forscher ist der Meinung, dass das Ziel dieser Domänenprüfung darin bestand, dass die Ransomware überprüft, ob sie in einer Sandbox ausgeführt wurde. Jedoch, ein weiterer Sicherheitsforscher hatte das Gefühl, dass die Domänenprüfung nicht Proxy-fähig ist.
Bei der Ausführung erstellt WannaCrypt die folgenden Registrierungsschlüssel:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
= „ \tasksche.exe“ - HKLM\SOFTWARE\WanaCrypt0r\\wd = „
“
Es ändert das Hintergrundbild in eine Lösegeldforderung, indem es den folgenden Registrierungsschlüssel ändert:
- HKCU\Control Panel\Desktop\Wallpaper: „
\@[email protected]”
Das Lösegeld, das gegen den Entschlüsselungsschlüssel verlangt wird, beginnt mit $300 Bitcoin die alle paar Stunden ansteigt.
Von WannaCrypt infizierte Dateierweiterungen
WannaCrypt durchsucht den gesamten Computer nach Dateien mit einer der folgenden Dateinamenerweiterungen: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , . std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , . ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vs dx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , . rar , .zip , .java , .raw
Anschließend werden sie umbenannt, indem „.WNCRY“ an den Dateinamen angehängt wird
WannaCry kann sich schnell verbreiten
Die Wurmfunktion in WannaCry ermöglicht es, ungepatchte Windows-Rechner im lokalen Netzwerk zu infizieren. Gleichzeitig führt es auch massive Scans von Internet-IP-Adressen durch, um andere anfällige PCs zu finden und zu infizieren. Diese Aktivität führt zu großen SMB-Verkehrsdaten, die vom infizierten Host stammen, und kann von SecOps-Mitarbeitern leicht verfolgt werden.
Sobald WannaCry einen anfälligen Computer erfolgreich infiziert hat, verwendet es ihn, um andere PCs zu infizieren. Der Zyklus wird weiter fortgesetzt, da das Scan-Routing nicht gepatchte Computer entdeckt.
So schützen Sie sich vor WannaCry
- Microsoft empfiehlt Upgrade auf Windows 10 da es mit den neuesten Funktionen und proaktiven Schadensbegrenzungen ausgestattet ist.
- Installiere das Sicherheitsupdate MS17-010 von Microsoft veröffentlicht. Das Unternehmen hat auch Sicherheitspatches für nicht unterstützte Windows-Versionen wie Windows XP, Windows Server 2003 usw. veröffentlicht.
- Windows-Benutzern wird geraten, äußerst vorsichtig mit Phishing-E-Mails umzugehen und dabei sehr vorsichtig zu sein Öffnen der E-Mail-Anhänge oder auf Web-Links klicken.
- Machen Sicherungen und bewahren Sie sie sicher auf
- Windows Defender-Antivirus erkennt diese Bedrohung als Lösegeld:Win32/WannaCrypt Aktivieren und aktualisieren Sie Windows Defender Antivirus und führen Sie es aus, um diese Ransomware zu erkennen.
- Nutzen Sie einige Anti-WannaCry-Ransomware-Tools.
- EternalBlue Vulnerability Checker ist ein kostenloses Tool, das überprüft, ob Ihr Windows-Computer anfällig ist EternalBlue-Exploit.
- Deaktivieren Sie SMB1 mit den unter dokumentierten Schritten KB2696547.
- Erwägen Sie, eine Regel auf Ihrem Router oder Ihrer Firewall hinzuzufügen Blockieren Sie eingehenden SMB-Datenverkehr auf Port 445
- Unternehmensbenutzer können verwenden Geräteschutz um Geräte zu sperren und virtualisierungsbasierte Sicherheit auf Kernel-Ebene bereitzustellen, sodass nur vertrauenswürdige Anwendungen ausgeführt werden können.
Um mehr zu diesem Thema zu erfahren, lesen Sie die Technet-Blog.
WannaCrypt wurde möglicherweise vorerst gestoppt, aber Sie erwarten möglicherweise, dass eine neuere Variante wütender zuschlägt, also bleiben Sie sicher und geschützt.
Was ist WannaCry und wie funktioniert es?
WannaCry ist eine Ransomware, die auf Windows-Computer abzielt und Dateien sperrt, bis Benutzer das Lösegeld zahlen. Es wurde erstmals im Jahr 2017 entdeckt und ist immer noch aktiv. Wie jede andere Ransomware infiziert es Ihren PC und verschlüsselt Ihre Dateien sofort, sodass Sie keinen Zugriff auf eine Datei erhalten.
Wie funktioniert der WannaCry-Ransomware-Angriff?
WannaCry-Ransomware verbreitet sich hauptsächlich über Server Message Block (SMB) in Windows-Systemen. Allerdings ist jeder Windows-Computer anfällig für diese Ransomware, bis eine bestimmte Vorsichtsmaßnahme getroffen wird. Um mehr über den Arbeitsablauf dieser Ransomware zu erfahren, wird empfohlen, den gesamten Artikel durchzugehen.
Microsoft Azure-Kunden sollten die Ratschläge von Microsoft lesen, wie sie die WannaCrypt-Ransomware-Bedrohung abwehren können.
AKTUALISIEREN: WannaCry Ransomware Decryptors sind verfügbar. Unter günstigen Bedingungen WannaKey und WanaKiwikönnen zwei Entschlüsselungstools dabei helfen, mit WannaCrypt oder WannaCry Ransomware verschlüsselte Dateien zu entschlüsseln, indem sie den von der Ransomware verwendeten Verschlüsselungsschlüssel abrufen.