WannaCry ransomware là gì, nó hoạt động như thế nào và làm sao để an toàn?

0
WannaCry Ransomware, còn được gọi là WannaCrypt, WanaCrypt0r hoặc Wcrypt. Nó là một ransomware nhắm vào hệ điều hành Windows. Được phát hiện vào ngày 12 tháng 5 năm 2017, WannaCrypt đã được sử dụng trong một cuộc tấn công mạng lớn và kể từ đó đã lây nhiễm hơn 230.000 PC Windows tại 150 quốc gia. Việt Nam nằm trong top 10 quốc gia mắc bệnh.
WannaCry lây nhiễm hơn 150 quốc gia
150 quốc gia đã bị nhiễm WannaCry

Phần mềm tống tiền WannaCry là gì?

Thông báo nạn nhân bị tống tiền từ WannaCry
Thông báo nạn nhân bị tống tiền từ WannaCry

Các cuộc tấn công ban đầu của WannaCrypt Chúng bao gồm Dịch vụ Y tế Quốc gia Vương quốc Anh, CTy Viễn thông Tây Ban Nha Telefónica và FedEx. Quy mô của chiến dịch ransomware đã gây ra sự hỗn loạn trên khắp các bệnh viện ở Anh. Nhiều công ty và bộ phận đã phải ngừng hoạt động. Trong khi nhân viên buộc phải sử dụng giấy bút cho công việc của họ với hệ thống bị Key bởi Ransomware.

WannaCry ransomware xâm nhập vào máy tính của bạn như thế nào?

Truy tìm từ các cuộc tấn công trên khắp thế giới, WannaCrypt trước tiên có quyền truy cập vào hệ thống máy tính thông qua File đính kèm email và sau đó có thể lan truyền nhanh chóng qua mạng LAN cục bộ. Phần mềm ransomware có thể mã hóa ổ cứng hệ thống của bạn và cố gắng khai thác lỗ hổng SMB để lây lan đến các máy tính ngẫu nhiên trên Internet thông qua các cổng TCP và giữa các máy tính trong cùng một mạng.

Ai đã tạo ra phần mềm tống tiền WannaCry?

Không có báo cáo xác nhận ai đã tạo ra WannaCrypt mặc dù WanaCrypt0r 2.0 dường như là nỗ lực thứ hai của các tác giả của nó. Người tiền nhiệm của nó, Ransomware WeCry, được phát hiện vào tháng 2 năm 2018 và yêu cầu 0,1 Bitcoin để mở Key.

Hiện tại, những kẻ tấn công được cho là đang sử dụng Microsoft Windows khai thác Eternal Blue, được cho là do NSA tạo ra. Những công cụ này đã bị đánh cắp và rò rỉ bởi một nhóm có tên là Shadow Brokers.

WannaCry lây lan như thế nào?

Phần mềm tống tiền này lây lan bằng cách sử dụng lỗ hổng trong việc triển khai Khối thông báo máy chủ (SMB) trong hệ thống Windows. Khai thác này, có tên là EternalBlue, đã bị đánh cắp và sử dụng sai mục đích bởi một nhóm có tên. Môi giới bóng tối.

Sự ngạc nhiên, EternalBlue là một vũ khí hack được NSA phát triển với mục đích giành quyền truy cập và chỉ huy các máy tính chạy Microsoft Windows. Nó được thiết kế đặc biệt để các đơn vị tình báo của quân đội Mỹ có quyền truy cập vào các máy tính được bọn khủng bố sử dụng.

WannaCrypt tạo ra một vector mục nhập trong các máy vẫn chưa được vá ngay cả khi đã có bản sửa lỗi. WannaCrypt nhắm mục tiêu tất cả các phiên bản Windows chưa được vá cho MS-17-010, được Microsoft phát hành vào tháng 3 năm 2017. Bao gồm Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 và Windows Server 2016.

Các cách lây nhiễm phổ biến bao gồm:

Nó được thiết kế để lừa người dùng chạy phần mềm độc hại và kích hoạt chức năng lây lan sâu bằng cách khai thác các SMB. Báo cáo cho biết rằng phần mềm độc hại đang được gửi trong một File Microsoft Word bị nhiễm được đính kèm trong một email, được ngụy trang dưới dạng thư mời làm việc, hóa đơn hoặc tài liệu liên quan khác. Quá trình này lây lan thông qua khai thác SMB khi máy tính bị lây nhiễm qua các máy tính khác.

WannaCry là một công cụ nhỏ giọt Trojan

Các thuộc tính cá thể của một ống nhỏ giọt Trojan, WannaCry, cố gắng kết nối với miền hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com, sử dụng API InternetOpenUrlA ()
Nếu kết nối thành công, mối đe dọa sẽ không còn lây nhiễm vào hệ thống bằng ransomware hoặc cố gắng khai thác các hệ thống khác để phát tán; Nó chỉ đơn giản là dừng thực thi. Chỉ khi kết nối không thành công, dropper mới tiến hành thoát ransomware và tạo một dịch vụ trên hệ thống.

Do đó, việc chặn tên miền bằng tường lửa ở cấp ISP hoặc mạng doanh nghiệp khiến ransomware tiếp tục phát tán và mã hóa các File.

Đây chính xác là cách một nhà nghiên cứu bảo mật thực sự ngăn chặn sự bùng phát của WannaCry Ransomware! Nhà nghiên cứu cho rằng mục tiêu của việc kiểm tra tên miền này là để kiểm tra ransomware xem nó có đang chạy trong Sandbox hay không. Tuy nhiên, một nhà nghiên cứu bảo mật khác cảm thấy rằng trình kiểm tra tên miền không nhận ra proxy.

Khi được thực thi, WannaCrypt sẽ tạo các sổ đăng ký sau:
HKLM SOFTWARE Microsoft Windows CurrentVersion Run = ” taskche.exe”
HKLM SOFTWARE WanaCrypt0r wd = “”. Nó thay đổi hình nền thành thông báo đòi tiền chuộc bằng cách sửa đổi Key đăng ký sau:

HKCU Control Panel Desktop Wallpaper: “ @ WanaDecryptor @ .bmp”. Số tiền chuộc được yêu cầu cho Key giải mã bắt đầu bằng 300 đô la Bitcoin, tăng sau vài giờ.

Phần mở rộng File bị nhiễm WannaCrypt

WannaCrypt tìm kiếm toàn bộ máy tính để tìm bất kỳ File nào có bất kỳ phần mở rộng tên nào sau đây: .123, .jpeg, .rb, .602, .jpg, .rtf, .doc, .js, .sch,. 3dm, .jsp, .sh, .3ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln, .aes, .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm , .mkv,. std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp, .mpg, .sxc, .brd, .msg, .sxd, .bz2, .myd, .sxi, .c, .myi, .sxm, .cgm, .nef, .sxw,. lớp, .odb ,. , .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt, .ods, .tif, .cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv,. las, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der, .ott, .vcd, .dif, .p12, .vdi, .dip, .PAQ, .vmdk, .djvu, .pas, .vmx, .docb, .pdf, .vob, .docm, .pem, .vsd, .docx, .pfx,. vsdx, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, .fla, .ppam, .xlc, .flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt, .xlsm , .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .sheet, .xltx, .iso, .pst, .xlw, .jar ,. rar, .zip, .java, .raw
Sau đó, nó đổi tên chúng bằng cách thêm .WNCRY ‘vào tên File.

WannaCry có khả năng lây lan cực nhanh

Chức năng sâu trong WannaCry cho phép nó lây nhiễm sang các máy Windows chưa được vá trong mạng cục bộ. Đồng thời, nó cũng thực hiện một quá trình quét lớn các địa chỉ IP Internet để tìm và lây nhiễm cho các PC dễ bị tấn công khác. Hoạt động này dẫn đến dữ liệu lưu lượng lớn SMB đến từ máy chủ bị nhiễm và nhân viên SecOps có thể dễ dàng theo dõi.
Khi WannaCry lây nhiễm thành công một máy tính dễ bị tấn công, nó sẽ sử dụng nó để lây nhiễm sang các PC khác. Chu kỳ lặp lại một lần nữa, khi định tuyến quét phát hiện các máy tính chưa được vá.

Làm thế nào để bảo vệ an toàn trước WannaCry?

1. Microsoft giới thiệu Nâng cấp lên Windows 10 vì nó được trang bị các tính năng mới nhất và giảm thiểu nguy cơ lây nhiễm.
2. Cài đặt bản cập nhật bảo mật MS17-010 do Microsoft phát hành. Công ty cũng đã phát hành các bản vá bảo mật cho các phiên bản Windows không được hỗ trợ như Windows XP, Windows Server 2003, v.v.
3. Người dùng Windows nên hết sức cảnh giác với -Phishing email lừa đảo và rất cẩn thận khi mở các File đính kèm email hoặc nhấp vào các liên kết web.
4. Sao lưu dữ liệu của bạn và giữ chúng an toàn
5. Windows Defender Antivirus Phát hiện mối đe dọa này là Ransom: Win32 / WannaCrypt, vì vậy hãy bật và cập nhật và chạy Windows Defender Antivirus để phát hiện ransomware này.
6. Sử dụng một số Công cụ Ransomware Anti-WannaCry.
7. Trình kiểm tra lỗ hổng EternalBlue là một công cụ miễn phí kiểm tra xem PC Windows của bạn có dễ bị khai thác EternalBlue hay không.
8. Tắt SMB1 với các bước đã ghi trong KB2696547.
9. Xem lại quy tắc trên bộ định tuyến hoặc tường lửa của bạn để chặn lưu lượng SMB đến trên cổng 445
10. Người dùng doanh nghiệp có thể sử dụng Device Guard để Key thiết bị và cung cấp bảo mật dựa trên ảo hóa cấp hạt nhân, chỉ cho phép các ứng dụng đáng tin cậy chạy.

WannaCrypt có thể đã bị tạm dừng, nhưng có thể sẽ có một biến thể mới hơn sẽ tấn công mạnh mẽ hơn, vì vậy bạn cần giữ an toàn và bảo mật cho mình.

Nguồn: thewindowsclub.com

Xem thêm nhiều bài mới tại : Thủ Thuật
Leave a comment