WannaCrypt Ransomware, também conhecido pelos nomes WannaCry, WanaCrypt0r ou Wcrypt é um ransomware que visa sistemas operacionais Windows. Descoberto em 12º Em maio de 2017, o WannaCrypt foi usado em um grande ataque cibernético e desde então infectou mais de 230.000 PCs com Windows em 150 países. agora.
O que é o WannaCrypt ransomware?
Como o WannaCrypt ransomware entra no seu computador?
Como é evidente a partir de seus ataques em todo o mundo, WannaCrypt primeiro ganha acesso ao sistema de computador através de um anexo do email e, posteriormente, pode se espalhar rapidamente através LAN. O ransomware pode criptografar o disco rígido de seus sistemas e tenta explorar Vulnerabilidade SMB para se espalhar para computadores aleatórios na Internet via porta TCP e entre computadores na mesma rede.
Quem criou o WannaCrypt
Não há relatórios confirmados sobre quem criou o WannaCrypt, embora o WanaCrypt0r 2.0 pareça ser o 2nd tentativa feita por seus autores. Seu antecessor, Ransomware WeCry, foi descoberto em fevereiro deste ano e exigiu 0,1 Bitcoin para desbloqueio.
Atualmente, os invasores estão usando o Microsoft Windows exploit Azul eterno que foi supostamente criado pela NSA. Essas ferramentas foram supostamente roubadas e vazadas por um grupo chamado Corretores Sombra.
Como o WannaCrypt se espalha
Esse Ransomware se espalha usando uma vulnerabilidade nas implementações do SMB (Server Message Block) nos sistemas Windows. Esta façanha é nomeada como EternalBlue que foi supostamente roubado e mal utilizado por um grupo chamado Corretores Sombra.
Curiosamente, EternalBlue é uma arma de hacking desenvolvida pela NSA para obter acesso e comandar os computadores que executam o Microsoft Windows. Foi especificamente projetado para a unidade de inteligência militar dos EUA ter acesso aos computadores usados pelos terroristas.
O WannaCrypt cria um vetor de entrada em máquinas ainda sem correção, mesmo depois que a correção se tornou disponível. O WannaCrypt segmenta todas as versões do Windows que não foram corrigidas MS-17-010, lançado pela Microsoft em março de 2017 para o Windows Vista, o Windows Server 2008, o Windows 7, o Windows Server 2008 R2, o Windows 8.1, o Windows RT 2012, o Windows Server 2012, o Windows Server 2012 R2, o Windows 10 e o Windows Server 2016.
O padrão de infecção comum inclui:
- Chegada através de e-mails de engenharia social projetados para enganar os usuários para executar o malware e ativar a funcionalidade de disseminação de worms com a exploração SMB. Relatórios dizem que o malware está sendo entregue em um arquivo infectado do Microsoft Word enviado em um email, disfarçado de oferta de emprego, fatura ou outro documento relevante.
- Infecção por meio de exploração do SMB quando um computador sem patch pode ser endereçado em outras máquinas infectadas
WannaCrypt é um conta-gotas de Trojan
Exibindo propriedades que um Trojan dropper, WannaCrypt, tenta conectar o domínio hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, usando a API InternetOpenUrlA ():
No entanto, se a conexão for bem-sucedida, a ameaça não infectará o sistema com ransomware ou tentará explorar outros sistemas para se espalhar; simplesmente pára a execução. É somente quando a conexão falha, o conta-gotas prossegue para eliminar o ransomware e criar um serviço no sistema.
Portanto, bloquear o domínio com firewall no nível de ISP ou de rede corporativa fará com que o ransomware continue a se espalhar e a criptografar arquivos.
Foi exatamente assim que um pesquisador de segurança realmente parou o surto do WannaCry Ransomware! Este pesquisador acha que o objetivo dessa verificação de domínio era para o ransomware verificar se estava sendo executado em um Sandbox. No entanto, outro pesquisador de segurança considerou que a verificação de domínio não é compatível com o proxy.
Quando executado, o WannaCrypt cria as seguintes chaves de registro:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = “
”
Ele altera o papel de parede para uma mensagem de resgate, modificando a seguinte chave de registro:
HKCU Painel de controle Desktop Wallpaper: “ @ WanaDecryptor @.bmp”
O resgate pedido contra a chave de decodificação começa com Bitcoin de US $ 300 que aumenta após algumas horas.
Extensões de arquivo infectadas por WannaCrypt
O WannaCrypt procura em todo o computador por qualquer arquivo com qualquer uma das seguintes extensões:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.ppp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der”,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Em seguida, ele os renomeia anexando “.WNCRY” ao nome do arquivo
O WannaCrypt tem capacidade de expansão rápida
A funcionalidade do worm no WannaCrypt permite infectar máquinas Windows sem patch na rede local. Ao mesmo tempo, também executa varredura massiva em endereços IP da Internet para localizar e infectar outros PCs vulneráveis. Essa atividade resulta em grandes dados de tráfego de SMB provenientes do host infectado e pode ser facilmente rastreada pelo pessoal da SecOps.
Uma vez que o WannaCrypt infecta com sucesso uma máquina vulnerável, ele a usa para infectar outros PCs. O ciclo continua, como o roteamento de digitalização descobre computadores sem patches.
Como se proteger contra Wannacrypt
- A Microsoft recomenda atualizando para o Windows 10 como equipado com recursos mais recentes e mitigações proativas.
- Instale o atualização de segurança MS17-010 lançado pela Microsoft. A empresa também lançou patches de segurança para versões não suportadas do Windows, como Windows XP, Windows Server 2003, etc.
- Os usuários do Windows são aconselhados a serem extremamente cautelosos com o e-mail de phishing e devem ser muito cuidadosos abrindo os anexos de e-mail ou clicando em links da web.
- Faço backups e mantê-los com segurança
- Antivírus do Windows Defender detecta essa ameaça como Ransom: Win32 / WannaCrypt Portanto, habilite e atualize e execute o Windows Defender Antivirus para detectar esse ransomware.
- Faça uso de alguns Ferramentas Anti-WannaCry Ransomware.
- EternalBlue Vulnerability Checker é uma ferramenta gratuita que verifica se o seu computador com Windows é vulnerável Exploração EternalBlue.
- Desativar SMB1 com as etapas documentadas em KB2696547.
- Considere adicionar uma regra ao seu roteador ou firewall para bloquear tráfego SMB de entrada na porta 445
- Usuários corporativos podem usar Guarda de dispositivo para bloquear dispositivos e fornecer segurança baseada em virtualização no nível do kernel, permitindo que apenas aplicativos confiáveis sejam executados.
Para saber mais sobre esse assunto, leia o blog da Technet.
O WannaCrypt pode ter sido parado por enquanto, mas você pode esperar que uma variante mais recente atinja mais furiosamente, portanto, fique seguro e protegido.
Os clientes do Microsoft Azure podem querer ler o conselho da Microsoft sobre como evitar o WannaCrypt Ransomware Threat.
ATUALIZAR: Decryptors WannaCry Ransomware estão disponíveis. Sob condições favoráveis, WannaKey e WanaKiwi, duas ferramentas de descriptografia podem ajudar a descriptografar arquivos criptografados WannaCrypt ou WannaCry Ransomware, recuperando a chave de criptografia usada pelo ransomware.