Che cos'è il ransomware WannaCry, come funziona e come proteggersi

WannaCry ransomware, noto anche con i nomi WannaCrypt, WanaCrypt0r o Wcrypt è un ransomware che prende di mira i sistemi operativi Windows. Scoperto il 12^questo Maggio 2017, WannaCrypt è stato utilizzato in un grande attacco informatico e da allora ha infettato più di 230.000 PC Windows in 150 paesi. adesso.

Che cos'è il ransomware WannaCry

I primi successi di WannaCrypt includono il Servizio sanitario nazionale del Regno Unito, la società di telecomunicazioni spagnola Telefónica e la società di logistica FedEx. Tale era la portata della campagna ransomware che ha causato il caos negli ospedali del Regno Unito. Molti di loro hanno dovuto essere chiusi innescando la chiusura delle operazioni con breve preavviso, mentre il personale è stato costretto a usare carta e penna per il proprio lavoro con i sistemi bloccati da Ransomware.

In che modo il ransomware WannaCry entra nel tuo computer?

Come evidente dai suoi attacchi in tutto il mondo, WannaCrypt ottiene per la prima volta l'accesso al sistema informatico tramite un allegato email e da allora in poi può diffondersi rapidamente attraverso LAN. Il ransomware può crittografare il disco rigido del tuo sistema e tenta di sfruttare il Vulnerabilità delle PMI diffondersi a computer casuali su Internet tramite la porta TCP e tra computer sulla stessa rete.

Chi ha creato WannaCry

Non ci sono rapporti confermati su chi ha creato WannaCrypt anche se WanaCrypt0r 2.0 sembra essere il 2^nd tentativo fatto dai suoi autori. Il suo predecessore, Ransomware WeCry, è stato scoperto nel febbraio di quest'anno e ha richiesto 0.1 Bitcoin per sbloccare.

Attualmente, secondo quanto riferito, gli aggressori stanno utilizzando l'exploit di Microsoft Windows Eterno Blu che sarebbe stato creato dalla NSA. Secondo quanto riferito, questi strumenti sono stati rubati e trapelati da un gruppo chiamato L'Ombra.

Come si diffonde WannaCry?

Questo ransomware si diffonde utilizzando una vulnerabilità nelle implementazioni di Server Message Block (SMB) nei sistemi Windows. Questo exploit è chiamato come EternalBlue che secondo quanto riferito è stato rubato e utilizzato in modo improprio da un gruppo chiamato L'Ombra.

interessante, EternalBlue è un'arma di hacking sviluppata dalla NSA per accedere e comandare i computer che eseguono Microsoft Windows. È stato progettato specificamente per l'unità di intelligence militare americana per ottenere l'accesso ai computer utilizzati dai terroristi.

WannaCrypt crea un vettore di ingresso in macchine ancora prive di patch anche dopo che la correzione è diventata disponibile. WannaCrypt prende di mira tutte le versioni di Windows per cui non sono state patchate MS-17-010, che Microsoft ha rilasciato nel marzo 2017 per Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows Server 2016.

Il modello di infezione comune include:

• Arrivo tramite e-mail di ingegneria sociale progettate per indurre gli utenti a eseguire il malware e attivare la funzionalità di diffusione del worm con l'exploit SMB. I rapporti dicono che il malware viene consegnato in un file Microsoft Word infetto che viene inviato in un'e-mail, mascherato da un'offerta di lavoro, una fattura o un altro documento pertinente.
• Infezione tramite exploit SMB quando un computer senza patch può essere indirizzato in altre macchine infette

WannaCry è un contagocce di Troia

Presentando proprietà che di un Trojan dropper, WannaCry, tenta di connettere il dominio hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, utilizzando l'API InternetOpenUrlA():

Tuttavia, se la connessione ha esito positivo, la minaccia non infetta ulteriormente il sistema con ransomware o tenta di sfruttare altri sistemi per diffondersi; interrompe semplicemente l'esecuzione. È solo quando la connessione fallisce, il contagocce procede a eliminare il ransomware e crea un servizio sul sistema.

Quindi, il blocco del dominio con firewall a livello di ISP o di rete aziendale farà sì che il ransomware continui a diffondere e crittografare i file.

Questo è stato esattamente il modo in cui un ricercatore di sicurezza ha effettivamente fermato l'epidemia di WannaCry Ransomware! Questo ricercatore ritiene che l'obiettivo di questo controllo del dominio fosse che il ransomware verificasse se veniva eseguito in una sandbox. Tuttavia, un altro ricercatore di sicurezza ha ritenuto che il controllo del dominio non fosse compatibile con il proxy.

Quando eseguito, WannaCrypt crea le seguenti chiavi di registro:

• HKLM\SOFTWARE\Microsoft\Windows\Versione corrente\Esegui\\ = “\tasksche.EXE"
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “"

Cambia lo sfondo in un messaggio di riscatto modificando la seguente chiave di registro:

• HKCU\Pannello di controllo\Desktop\Sfondo: “\@[email protetta]”

Il riscatto richiesto per la chiave di decrittazione inizia con $ 300 Bitcoin che aumenta ogni poche ore.

Estensioni dei file infettate da WannaCrypt

WannaCrypt cerca nell'intero computer qualsiasi file con una delle seguenti estensioni di file: .123, .jpeg , .rb , .602 , .jpg , .rtf , .documento , .js , .sch , .3dm , .jsp , .sh , .3ds , .chiave , .sldm , .3g2 , .posare , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARCO , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .metà , .stc , .asma , .mkv , .standard , .asp , .mml , .duro , .avi , .muoviti , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .pipistrello , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .mio , .sxi , .c , .mio , .sesso femminile , .cgm , .nef , .sxw , .classe , .odb , .catrame , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .TXT , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .differenza , .p12 , .vdi , .tuffo , .PAQ , .vmdk , .djvu , .passo , .vmx , .docb , .PDF , .vob , .documento , .pem , .vsd , .docx , .pfx , .vsdx , .punto , .php , .onda , .punto , .per favore , .wb2 , .puntox , .png , .sett.1 , .dwg , .pentola , .settimane , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .da , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .vaso , .raro , .cerniera lampo , .Giava , .crudo

Quindi li rinomina aggiungendo ".WNCRY” al nome del file

WannaCry ha una capacità di diffusione rapida

La funzionalità worm in WannaCry gli consente di infettare le macchine Windows senza patch nella rete locale. Allo stesso tempo, esegue anche scansioni massicce sugli indirizzi IP di Internet per trovare e infettare altri PC vulnerabili. Questa attività si traduce in dati di traffico SMB di grandi dimensioni provenienti dall'host infetto e può essere facilmente monitorata dal personale SecOps.

Una volta che WannaCry infetta con successo una macchina vulnerabile, la utilizza per infettare altri PC. Il ciclo continua ulteriormente, poiché il routing di scansione rileva computer senza patch.

Come proteggersi da WannaCry

1. Microsoft consiglia aggiornamento a Windows 10 in quanto dotato delle ultime funzionalità e mitigazioni proattive.
2. Installa il aggiornamento di sicurezza MS17-010 rilasciato da Microsoft. L'azienda ha anche rilasciato patch di sicurezza per versioni di Windows non supportate come Windows XP, Windows Server 2003, ecc.
3. Si consiglia agli utenti di Windows di essere estremamente cauti nei confronti delle e-mail di phishing e di prestare molta attenzione durante aprendo gli allegati di posta elettronica o cliccando sui link web.
4. Rendere backup e conservarli al sicuro
5. Windows Defender Antivirus rileva questa minaccia come Riscatto: Win32/WannaCrypt quindi abilita, aggiorna ed esegui Windows Defender Antivirus per rilevare questo ransomware.
6. Usane un po' Strumenti anti-WannaCry ransomware.
7. EternalBlue Vulnerability Checker è uno strumento gratuito che controlla se il tuo computer Windows è vulnerabile a Exploit di EternalBlue.
8. Disabilita SMB1 con i passaggi documentati in KB2696547.
9. Considera l'aggiunta di una regola sul router o sul firewall per firewall bloccare il traffico SMB in entrata sulla porta 445
10. Gli utenti aziendali possono utilizzare Protezione del dispositivo per bloccare i dispositivi e fornire sicurezza basata sulla virtualizzazione a livello di kernel, consentendo l'esecuzione solo di applicazioni affidabili.

Per saperne di più su questo argomento leggi il blog Technet.

WannaCrypt potrebbe essere stato fermato per ora, ma potresti aspettarti che una variante più recente colpisca più furiosamente, quindi stai al sicuro e protetto.

I clienti di Microsoft Azure potrebbero voler leggere i consigli di Microsoft su come evitare la minaccia del ransomware WannaCrypt.

AGGIORNARE: WannaCry Ransomware Decryptor sono disponibili. In condizioni favorevoli, WannaKey e WanaKiwi, due strumenti di decrittazione possono aiutare a decifrare i file crittografati WannaCrypt o WannaCry Ransomware recuperando la chiave di crittografia utilizzata dal ransomware.