Wat is WannaCry ransomware, hoe werkt het en hoe blijf je veilig

WannaCry-ransomware, ook bekend onder de namen WannaCrypt, WanaCrypt0r of Wcrypt is een ransomware die zich richt op Windows-besturingssystemen. Ontdekt op 12^dit In mei 2017 werd WannaCrypt gebruikt bij een grote cyberaanval en heeft sindsdien meer dan 230.000 Windows-pc's in 150 landen geïnfecteerd. nu.

Wat is WannaCry-ransomware?

De eerste hits van WannaCrypt zijn onder meer de Britse National Health Service, het Spaanse telecommunicatiebedrijf Telefónica en het logistieke bedrijf FedEx. De ransomware-campagne was zo groot dat deze chaos veroorzaakte in ziekenhuizen in het Verenigd Koninkrijk. Velen van hen moesten worden stopgezet, waardoor de operaties op korte termijn werden stopgezet, terwijl het personeel werd gedwongen pen en papier te gebruiken voor hun werk, waarbij de systemen werden vergrendeld door Ransomware.

Hoe komt de WannaCry-ransomware op uw computer?

Zoals blijkt uit zijn wereldwijde aanvallen, krijgt WannaCrypt eerst toegang tot het computersysteem via een email bijlage en kan zich daarna snel verspreiden LAN. De ransomware kan de harde schijf van uw systeem versleutelen en probeert misbruik te maken van de SMB-kwetsbaarheid verspreiden naar willekeurige computers op internet via de TCP-poort en tussen computers op hetzelfde netwerk.

Wie heeft WannaCry gemaakt?

Er zijn geen bevestigde rapporten over wie WannaCrypt heeft gemaakt, hoewel WanaCrypt0r 2.0 lijkt de 2 te zijn^nd poging van de auteurs. Zijn voorganger, Ransomware WeCry, werd in februari van dit jaar ontdekt en eiste 0.1 Bitcoin om te ontgrendelen.

Momenteel gebruiken de aanvallers naar verluidt Microsoft Windows-exploit Eeuwig Blauw die naar verluidt is gemaakt door de NSA. Deze tools zijn naar verluidt gestolen en gelekt door een groep genaamd Schaduwmakelaars.

Hoe verspreidt WannaCry zich?

Deze ransomware verspreidt zich door gebruik te maken van een kwetsbaarheid in implementaties van Server Message Block (SMB) in Windows-systemen. Deze exploit wordt genoemd als Eeuwig Blauw die naar verluidt is gestolen en misbruikt door een groep genaamd Schaduwmakelaars.

interessant genoeg, Eeuwig Blauw is een hackwapen dat door de NSA is ontwikkeld om toegang te krijgen tot en het commando te voeren over de computers met Microsoft Windows. Het is speciaal ontworpen voor de Amerikaanse militaire inlichtingeneenheid om toegang te krijgen tot de computers die door de terroristen worden gebruikt.

WannaCrypt creëert een invoervector in machines die nog niet zijn gepatcht, zelfs nadat de fix beschikbaar was gekomen. WannaCrypt richt zich op alle Windows-versies waarvoor niet is gepatcht MS-17-010, die Microsoft in maart 2017 uitbracht voor Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 en Windows Server 2016.

Het algemene infectiepatroon omvat:

• Aankomst via social engineering-e-mails die zijn ontworpen om gebruikers te misleiden om de malware uit te voeren en de wormverspreidingsfunctionaliteit te activeren met de SMB-exploit. Volgens rapporten wordt de malware binnen een geïnfecteerd Microsoft Word-bestand die in een e-mail wordt verzonden, vermomd als een jobaanbieding, een factuur of een ander relevant document.
• Infectie via SMB-exploitatie wanneer een niet-gepatchte computer kan worden geadresseerd op andere geïnfecteerde machines

WannaCry is een Trojaanse druppelaar

Het vertonen van eigenschappen die van een dropper-trojan, WannaCry, probeert het domein te verbinden hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, met behulp van de API InternetOpenUrlA():

Als de verbinding echter succesvol is, infecteert de dreiging het systeem niet verder met ransomware of probeert het andere systemen te misbruiken om zich te verspreiden; het stopt gewoon de uitvoering. Het is alleen wanneer de verbinding mislukt, de dropper de ransomware laat vallen en een service op het systeem creëert.

Daarom zal het blokkeren van het domein met een firewall op ISP- of bedrijfsnetwerkniveau ervoor zorgen dat de ransomware zich blijft verspreiden en bestanden versleutelt.

Dit was precies hoe een beveiligingsonderzoeker de uitbraak van WannaCry Ransomware heeft gestopt! Deze onderzoeker is van mening dat het doel van deze domeincontrole was om de ransomware te laten controleren of deze in een Sandbox werd uitgevoerd. Een andere beveiligingsonderzoeker was echter van mening dat de domeincontrole niet proxy-bewust is.

Wanneer uitgevoerd, maakt WannaCrypt de volgende registersleutels:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\taakschema.exe"
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “”

Het verandert de achtergrond in een losgeldbericht door de volgende registersleutel te wijzigen:

• HKCU\Configuratiescherm\Bureaublad\Wallpaper: “\@[e-mail beveiligd]”

Het losgeld dat wordt gevraagd tegen de decoderingssleutel begint met $300 Bitcoin die na elke paar uur toeneemt.

Bestandsextensies geïnfecteerd door WannaCrypt

WannaCrypt doorzoekt de hele computer naar elk bestand met een van de volgende bestandsnaamextensies: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .sleutel , .sldm , .3g2 , .leggen , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .sn , .ai , .max , .sql , .BOOG , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .midden , .stc , .asm , .mkv , .soa , .adder , .mml , .stil , .avi , .bewegen , .stw , .back-up , .mp3 , .suo , .bak , .mp4 , .svg , .knuppel , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .bericht , .sxd , .bz2 , .mijn , .sxi , .c , .mijn Ik , .sxm , .cgm , .nee , .sxw , .klasse , .odb , .teer , .cmd , .vreemd , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .mvo , .onetoc2 , .tekst , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .verschil , .p12 , .vdi , .duik , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .punt , .php , .wav , .puntm , .meer , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .weken , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .pot , .zeldzaam , .zip , .Java , .rauw

Het hernoemt ze vervolgens door toe te voegen ".WNCRY" naar de bestandsnaam

WannaCry heeft een snel verspreidingsvermogen

Dankzij de wormfunctionaliteit in WannaCry kan het niet-gepatchte Windows-machines in het lokale netwerk infecteren. Tegelijkertijd voert het ook massale scans uit op internet-IP-adressen om andere kwetsbare pc's te vinden en te infecteren. Deze activiteit resulteert in grote SMB-verkeersgegevens afkomstig van de geïnfecteerde host en kan gemakkelijk worden gevolgd door SecOps-personeel.

Zodra WannaCry met succes een kwetsbare machine infecteert, gebruikt het deze om andere pc's te infecteren. De cyclus gaat verder, terwijl de scanrouting niet-gepatchte computers ontdekt.

Hoe te beschermen tegen WannaCry

1. Microsoft raadt aan upgraden naar Windows 10 omdat het is uitgerust met de nieuwste functies en proactieve oplossingen.
2. Installeer de beveiligingsupdate MS17-010 vrijgegeven door Microsoft. Het bedrijf heeft ook beveiligingspatches uitgebracht voor niet-ondersteunde Windows-versies zoals Windows XP, Windows Server 2003, enz.
3. Windows-gebruikers wordt aangeraden uiterst voorzichtig te zijn met phishing-e-mail en zeer voorzichtig te zijn terwijl de e-mailbijlagen openen of klikken op weblinks.
4. Maken back-ups en bewaar ze veilig
5. Windows Defender-antivirus detecteert deze dreiging als: Losgeld:Win32/WannaCrypt dus activeer en update en voer Windows Defender Antivirus uit om deze ransomware te detecteren.
6. Maak er gebruik van Anti-WannaCry Ransomware-tools.
7. EternalBlue Vulnerability Checker is een gratis tool die controleert of uw Windows-computer kwetsbaar is voor: EternalBlue exploit.
8. SMB1 uitschakelen met de stappen gedocumenteerd in KB2696547.
9. Overweeg een regel toe te voegen aan uw router of firewall om: blokkeer inkomend SMB-verkeer op poort 445
10. Enterprise-gebruikers kunnen gebruik maken van Apparaatbeveiliging om apparaten te vergrendelen en op virtualisatie gebaseerde beveiliging op kernelniveau te bieden, zodat alleen vertrouwde applicaties kunnen worden uitgevoerd.

Lees de Technet-blog voor meer informatie over dit onderwerp.

WannaCrypt is misschien voorlopig gestopt, maar je mag verwachten dat een nieuwere variant furieus zal toeslaan, dus blijf veilig.

Microsoft Azure-klanten willen misschien het advies van Microsoft lezen over het afwenden van WannaCrypt Ransomware Threat.

BIJWERKEN: WannaCry Ransomware Decryptors zijn beschikbaar. Onder gunstige voorwaarden, WannaKey en WanaKiwi, twee decoderingstools kunnen helpen bij het decoderen van WannaCrypt- of WannaCry Ransomware-gecodeerde bestanden door de coderingssleutel op te halen die door de ransomware wordt gebruikt.