WannaCrypt ransomware là gì, nó hoạt động như thế nào và cách giữ an toàn

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2024-01-15 14:23

WannaCrypt Ransomware, còn được biết đến với cái tên WannaCry, WanaCrypt0r hoặc Wcrypt là một phần mềm ransomware nhắm vào hệ điều hành Windows. Được phát hiện vào ngày 12^th Tháng 5 năm 2017, WannaCrypt đã được sử dụng trong một cuộc tấn công lớn trên mạng và từ đó đã lây nhiễm hơn 230.000 máy tính Windows ở 150 quốc gia. hiện nay.

WannaCrypt ransomware là gì

WannaCrypt lần truy cập đầu tiên bao gồm Dịch vụ Y tế Quốc gia của Anh, công ty viễn thông Tây Ban Nha Telefónica và công ty hậu cần FedEx. Đó là quy mô của chiến dịch ransomware mà nó gây ra sự hỗn loạn giữa các bệnh viện ở Vương quốc Anh. Nhiều người trong số họ đã phải đóng cửa kích hoạt các hoạt động đóng cửa trên thông báo ngắn, trong khi các nhân viên đã buộc phải sử dụng bút và giấy cho công việc của họ với các hệ thống bị khóa bởi Ransomware.

Làm thế nào để WannaCrypt ransomware có được vào máy tính của bạn

Như hiển nhiên từ các cuộc tấn công trên toàn thế giới, WannaCrypt lần đầu tiên truy cập vào hệ thống máy tính thông qua một tệp đính kèm email và sau đó có thể lan truyền nhanh chóng thông qua LAN. Các ransomware có thể mã hóa hệ thống của bạn đĩa cứng và cố gắng khai thác Lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên Internet thông qua cổng TCP và giữa các máy tính trên cùng một mạng.

Ai đã tạo WannaCrypt

Không có báo cáo xác nhận về người đã tạo WannaCrypt mặc dù WanaCrypt0r 2.0 có vẻ là 2^nd nỗ lực của các tác giả. Tiền thân của nó, Ransomware WeCry, được phát hiện trở lại vào tháng Hai năm nay và yêu cầu 0,1 Bitcoin để mở khóa.

Hiện tại, những kẻ tấn công được báo cáo bằng cách sử dụng Microsoft Windows Eternal Blue được NSA tạo ra. Những công cụ này đã được báo cáo bị đánh cắp và bị rò rỉ bởi một nhóm được gọi là Shadow môi giới.

WannaCrypt lây lan như thế nào

Ransomware này lây lan bằng cách sử dụng một lỗ hổng trong việc triển khai Server Message Block (SMB) trong các hệ thống Windows. Khai thác này được đặt tên là EternalBlue bị một nhóm gọi là bị đánh cắp và lạm dụng Shadow môi giới.

Thật thú vị, EternalBlue là một vũ khí hacking được NSA phát triển để truy cập và chỉ huy các máy tính chạy Microsoft Windows. Nó được thiết kế đặc biệt cho đơn vị tình báo quân sự của Mỹ để truy cập vào các máy tính được bọn khủng bố sử dụng.

WannaCrypt tạo ra một vectơ mục nhập trong các máy vẫn chưa được vá ngay cả sau khi sửa chữa đã có sẵn. WannaCrypt nhắm mục tiêu tất cả các phiên bản Windows không được vá cho MS-17-010, mà Microsoft phát hành vào tháng 3 năm 2017 cho Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 và Windows Server 2016.

Mẫu lây nhiễm thông thường bao gồm:

Đến thông qua các email kỹ thuật xã hội được thiết kế để lừa người dùng chạy phần mềm độc hại và kích hoạt chức năng phân tán sâu với khai thác SMB. Báo cáo cho biết phần mềm độc hại đang được phân phối trong tệp Microsoft Word bị nhiễm được gửi trong email, được cải trang thành đề nghị công việc, hóa đơn hoặc tài liệu có liên quan khác.
Nhiễm trùng thông qua SMB khai thác khi một máy tính chưa được vá có thể được giải quyết trong các máy bị nhiễm khác

WannaCrypt là một Trojan dropper

Triển lãm các thuộc tính của một Trojan nhỏ giọt, WannaCrypt, cố gắng kết nối miền hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, bằng cách sử dụng API InternetOpenUrlA ():

Tuy nhiên, nếu kết nối thành công, mối đe dọa sẽ không lây nhiễm cho hệ thống thêm bằng phần mềm ransomware hoặc cố gắng khai thác các hệ thống khác để lây lan; nó chỉ đơn giản là ngừng thực hiện. Chỉ khi kết nối thất bại, ống nhỏ giọt tiến hành thả phần mềm ransomware và tạo ra một dịch vụ trên hệ thống.

Do đó, việc chặn miền với tường lửa ở cấp ISP hoặc mạng doanh nghiệp sẽ làm cho phần mềm ransomware tiếp tục lan truyền và mã hóa các tệp.

Đây chính xác là cách một nhà nghiên cứu bảo mật thực sự ngăn chặn sự bùng nổ của WannaCry Ransomware! Nhà nghiên cứu này cảm thấy rằng mục tiêu của việc kiểm tra miền này là dành cho phần mềm ransomware để kiểm tra xem nó có đang chạy trong Sandbox hay không. Tuy nhiên, một nhà nghiên cứu bảo mật khác cảm thấy rằng việc kiểm tra miền không phải là nhận thức của proxy.

Khi thực hiện, WannaCrypt tạo ra các khóa registry sau đây:

HKLM SOFTWARE Microsoft Windows CurrentVersion Run = “ tasksche.exe”
HKLM SOFTWARE WanaCrypt0r wd = “”

Nó thay đổi hình nền thành thông báo tiền chuộc bằng cách sửa đổi khoá đăng ký sau:

HKCU Control Panel Desktop Wallpaper: “ @ WanaDecryptor @.bmp”

Khoản tiền chuộc yêu cầu chống lại khóa giải mã bắt đầu bằng $ 300 Bitcoin tăng sau vài giờ một lần.

Các phần mở rộng tệp bị WannaCrypt lây nhiễm

WannaCrypt tìm kiếm toàn bộ máy tính của bất kỳ tệp nào bằng bất kỳ phần mở rộng tên tệp nào sau đây:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,.,,.mp,.mpg,.sxc,.brd,,,,,,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,.,,,,,.,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw

Sau đó, đổi tên chúng bằng cách thêm ".WNCRY" vào tên tệp

WannaCrypt có khả năng lan truyền nhanh

Chức năng sâu trong WannaCrypt cho phép nó lây nhiễm các máy Windows chưa được vá trong mạng cục bộ. Đồng thời, nó cũng thực hiện quét lớn trên địa chỉ IP Internet để tìm và lây nhiễm sang các PC dễ bị tổn thương khác. Hoạt động này dẫn đến dữ liệu lưu lượng SMB lớn đến từ máy chủ bị nhiễm và có thể được nhân viên SecOps theo dõi dễ dàng.

Một khi WannaCrypt lây nhiễm thành công một máy tính dễ bị tấn công, nó sử dụng nó để có thể lây nhiễm sang các máy tính khác. Chu trình tiếp tục tiếp tục, khi định tuyến quét phát hiện ra các máy tính chưa được vá.

Cách bảo vệ chống lại Wannacrypt

Microsoft khuyến cáo nâng cấp lên Windows 10 vì nó được trang bị các tính năng mới nhất và giảm thiểu chủ động.
Cài đặt cập nhật bảo mật MS17-010 được phát hành bởi Microsoft. Công ty cũng đã phát hành bản vá bảo mật cho các phiên bản Windows không được hỗ trợ như Windows XP, Windows Server 2003, v.v.
Người dùng Windows được khuyên nên cực kỳ thận trọng với email lừa đảo và rất cẩn thận trong khi mở tệp đính kèm email hoặc nhấp vào liên kết web.
Chế tạo sao lưu và giữ chúng an toàn
Windows Defender Antivirus phát hiện mối đe dọa này là Tiền chuộc: Win32 / WannaCrypt để kích hoạt và cập nhật và chạy Windows Defender Antivirus để phát hiện phần mềm này.
Tận dụng một số Anti-WannaCry Ransomware Công cụ.
EternalBlue Vulnerability Checker là một công cụ miễn phí kiểm tra xem máy tính Windows của bạn có dễ bị tấn công hay không Khai thác EternalBlue.
Tắt SMB1 với các bước được ghi lại tại KB2696547.
Cân nhắc thêm quy tắc trên bộ định tuyến hoặc tường lửa của bạn vào chặn lưu lượng SMB đến trên cổng 445
Người dùng doanh nghiệp có thể sử dụng Bảo vệ thiết bị để khóa thiết bị và cung cấp bảo mật dựa trên ảo hóa cấp hạt nhân, chỉ cho phép các ứng dụng đáng tin cậy chạy.

Để biết thêm về chủ đề này, hãy đọc blog Technet.

WannaCrypt có thể đã bị ngừng ngay bây giờ, nhưng bạn có thể mong đợi một biến thể mới hơn để tấn công dữ dội hơn, vì vậy hãy an toàn và bảo mật.

Khách hàng của Microsoft Azure có thể muốn đọc lời khuyên của Microsoft về cách ngăn chặn WannaCrypt Ransomware Threat.

CẬP NHẬT: WannaCry Ransomware Decryptors có sẵn. Trong điều kiện thuận lợi, WannaKey và WanaKiwi, hai công cụ giải mã có thể giúp giải mã các tệp được mã hóa WannaCrypt hoặc WannaCry Ransomware bằng cách truy xuất khóa mã hóa được ransomware sử dụng.