Was ist WannaCry-Ransomware, wie funktioniert sie und wie kann man sicher bleiben?

WannaCry-Ransomware, auch bekannt unter den Namen WannaCrypt, WanaCrypt0r oder Wcrypt ist eine Ransomware, die auf Windows-Betriebssysteme abzielt. Entdeckt auf 12^das Mai 2017 wurde WannaCrypt bei einem großen Cyber-Angriff eingesetzt und hat seitdem mehr als 230.000 Windows-PCs in 150 Ländern infiziert. jetzt.

Was ist WannaCry-Ransomware?

Zu den ersten Hits von WannaCrypt gehören der britische National Health Service, das spanische Telekommunikationsunternehmen Telefónica und das Logistikunternehmen FedEx. Das Ausmaß der Ransomware-Kampagne war so groß, dass sie in Krankenhäusern im Vereinigten Königreich Chaos verursachte. Viele von ihnen mussten geschlossen werden, was eine kurzfristige Betriebsschließung auslöste, während die Mitarbeiter gezwungen waren, Stift und Papier für ihre Arbeit zu verwenden, da die Systeme durch Ransomware gesperrt wurden.

Wie gelangt die WannaCry-Ransomware in Ihren Computer?

Wie aus seinen weltweiten Angriffen hervorgeht, verschafft sich WannaCrypt zunächst über eine Email Anhang und kann sich danach schnell ausbreiten LAN. Die Ransomware kann die Festplatte Ihres Systems verschlüsseln und versucht, diese auszunutzen SMB-Schwachstelle um sich über den TCP-Port auf beliebige Computer im Internet und zwischen Computern im selben Netzwerk zu verbreiten.

Wer hat WannaCry erstellt?

Es gibt keine bestätigten Berichte darüber, wer WannaCrypt erstellt hat, obwohl WanaCrypt0r 2.0 scheint die 2 zu sein^nd Versuch seiner Autoren. Sein Vorgänger, Ransomware WeCry, wurde bereits im Februar dieses Jahres entdeckt und forderte 0.1 Bitcoin zum Entsperren.

Derzeit nutzen die Angreifer Berichten zufolge Microsoft Windows-Exploit Ewiges Blau die angeblich von der NSA erstellt wurde. Diese Tools wurden Berichten zufolge von einer Gruppe namens . gestohlen und durchgesickert Schattenbroker.

Wie verbreitet sich WannaCry

Diese Ransomware verbreitet sich, indem sie eine Schwachstelle in Implementierungen von Server Message Block (SMB) in Windows-Systemen ausnutzt. Dieser Exploit heißt Ewigblau die angeblich von einer Gruppe namens . gestohlen und missbraucht wurde Schattenbroker.

Interessant, Ewigblau ist eine Hacking-Waffe, die von der NSA entwickelt wurde, um Zugriff auf Computer zu erhalten und sie zu befehligen, auf denen Microsoft Windows ausgeführt wird. Es wurde speziell für den amerikanischen Militärgeheimdienst entwickelt, um Zugang zu den Computern zu erhalten, die von den Terroristen verwendet werden.

WannaCrypt erstellt einen Eintragsvektor in Maschinen, die noch ungepatcht sind, selbst nachdem der Fix verfügbar geworden war. WannaCrypt zielt auf alle Windows-Versionen ab, die nicht gepatcht wurden MS-17-010, die Microsoft im März 2017 für Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 veröffentlicht hat.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 und Windows Server 2016.

Das übliche Infektionsmuster umfasst:

• Ankunft über Social-Engineering-E-Mails, die Benutzer dazu verleiten sollen, die Malware auszuführen und die Wurmverbreitungsfunktion mit dem SMB-Exploit zu aktivieren. Berichten zufolge wird die Malware in einem infizierte Microsoft Word-Datei die in einer E-Mail gesendet wird, getarnt als Stellenangebot, Rechnung oder ein anderes relevantes Dokument.
• Infektion durch SMB-Exploit, wenn ein nicht gepatchter Computer auf anderen infizierten Computern angesprochen werden kann

WannaCry ist ein Trojaner-Dropper

Zeigt die Eigenschaften eines Dropper-Trojaners WannaCry, der versucht, die Domäne zu verbinden hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, mit der API InternetOpenUrlA():

Wenn die Verbindung jedoch erfolgreich ist, infiziert die Bedrohung das System nicht weiter mit Ransomware oder versucht, andere Systeme zur Verbreitung auszunutzen; es stoppt einfach die Ausführung. Erst wenn die Verbindung fehlschlägt, setzt der Dropper die Ransomware ab und erstellt einen Dienst auf dem System on.

Daher führt das Blockieren der Domäne mit einer Firewall entweder auf ISP- oder Unternehmensnetzwerkebene dazu, dass sich die Ransomware weiter verbreitet und Dateien verschlüsselt.

Genau so hat ein Sicherheitsforscher den Ausbruch der WannaCry-Ransomware tatsächlich gestoppt! Dieser Forscher ist der Meinung, dass das Ziel dieser Domänenprüfung darin bestand, dass die Ransomware überprüft, ob sie in einer Sandbox ausgeführt wird. Ein anderer Sicherheitsforscher war jedoch der Meinung, dass die Domänenprüfung nicht Proxy-fähig ist.

Bei der Ausführung erstellt WannaCrypt die folgenden Registrierungsschlüssel:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = „\tasksche.exe”
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “”

Es ändert das Hintergrundbild in eine Lösegeldnachricht, indem es den folgenden Registrierungsschlüssel ändert:

• HKCU\Systemsteuerung\Desktop\Wallpaper: „\@[E-Mail geschützt]”

Das Lösegeld, das gegen den Entschlüsselungsschlüssel verlangt wird, beginnt mit $300 Bitcoin die alle paar Stunden zunimmt.

Mit WannaCrypt infizierte Dateierweiterungen

WannaCrypt durchsucht den gesamten Computer nach Dateien mit einer der folgenden Dateinamenerweiterungen: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .Sch , .3ds , .Schlüssel , .sldm , .3g2 , .legen , .sldm , .3gp , .Lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .BOGEN , .mdb , .sqlite3 , .aufsteigen , .mdf , .sqlitedb , .asf , .Mitte , .stc , .asm , .mkv , .std , .asp , .mml , .halt , .avi , .bewegen , .stw , .Sicherung , .mp3 , .suo , .backen , .mp4 , .svg , .Schläger , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .Nachricht , .sxd , .bz2 , .myd , .sxi , .c , .mein Ich , .sxm , .cgm , .nef , .sxw , .Klasse , .odb , .Teer , .cmd , .sonderbar , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .TXT , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der“ , .ott , .vcd , .dif , .p12 , .vdi , .tauchen , .PAQ , .vmdk , .djvu , .pass , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .Punkt , .php , .wellenartig , .dotm , .bitte , .wb2 , .dotx , .png , .wk1 , .dwg , .Topf , .Wochen , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .ha , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .PST , .xlw , .Krug , .selten , .Postleitzahl , .Java , .roh

Es benennt sie dann um, indem es „.WNCRY“ an den Dateinamen

WannaCry hat eine schnelle Ausbreitungsfähigkeit

Die Wurmfunktionalität in WannaCry ermöglicht es, ungepatchte Windows-Rechner im lokalen Netzwerk zu infizieren. Gleichzeitig führt es auch massive Scans von Internet-IP-Adressen durch, um andere anfällige PCs zu finden und zu infizieren. Diese Aktivität führt zu großen SMB-Verkehrsdaten, die vom infizierten Host stammen und von SecOps-Mitarbeitern leicht nachverfolgt werden können.

Sobald WannaCry einen anfälligen Computer erfolgreich infiziert hat, verwendet es ihn, um andere PCs zu infizieren. Der Zyklus wird weiter fortgesetzt, da das Scanning-Routing ungepatchte Computer entdeckt.

So schützen Sie sich vor WannaCry

1. Microsoft empfiehlt Upgrade auf Windows 10 da es mit den neuesten Funktionen und proaktiven Abwehrmaßnahmen ausgestattet ist.
2. Installiere das Sicherheitsupdate MS17-010 freigegeben von Microsoft. Das Unternehmen hat auch Sicherheitspatches für nicht unterstützte Windows-Versionen wie Windows XP, Windows Server 2003 usw. veröffentlicht.
3. Windows-Benutzern wird empfohlen, bei Phishing-E-Mails äußerst vorsichtig zu sein und sehr vorsichtig zu sein Öffnen der E-Mail-Anhänge oder auf Weblinks klicken.
4. Machen Sicherungen und  sie sicher aufbewahren
5. Windows Defender-Antivirus erkennt diese Bedrohung als Lösegeld: Win32/WannaCrypt Aktivieren und aktualisieren Sie also Windows Defender Antivirus und führen Sie es aus, um diese Ransomware zu erkennen.
6. Nutzen Sie einige Anti-WannaCry-Ransomware-Tools.
7. EternalBlue Vulnerability Checker ist ein kostenloses Tool, das überprüft, ob Ihr Windows-Computer anfällig für EternalBlue-Exploit.
8. SMB1 deaktivieren mit den unter KB2696547 dokumentierten Schritten.
9. Ziehen Sie in Erwägung, eine Regel für Ihren Router oder Ihre Firewall hinzuzufügen Blockieren Sie eingehenden SMB-Datenverkehr auf Port 445
10. Unternehmensbenutzer können verwenden Geräteschutz um Geräte zu sperren und virtualisierungsbasierte Sicherheit auf Kernel-Ebene bereitzustellen, sodass nur vertrauenswürdige Anwendungen ausgeführt werden können.

Um mehr zu diesem Thema zu erfahren, lesen Sie den Technet-Blog.

WannaCrypt wurde vielleicht vorerst gestoppt, aber Sie können erwarten, dass eine neuere Variante noch heftiger zuschlägt, also bleiben Sie sicher und geschützt.

Microsoft Azure-Kunden möchten möglicherweise die Ratschläge von Microsoft zur Abwehr der Bedrohung durch die WannaCrypt-Ransomware lesenware.

AKTUALISIEREN: WannaCry Ransomware-Entschlüsseler sind verfügbar. Unter günstigen Bedingungen, WannaKey und WanaKiwi, Zwei Entschlüsselungstools können helfen, mit WannaCrypt oder WannaCry Ransomware verschlüsselte Dateien zu entschlüsseln, indem sie den von der Ransomware verwendeten Verschlüsselungsschlüssel abrufen.