Apa itu ransomware WannaCry, bagaimana cara kerjanya & bagaimana tetap aman

Ransomware WannaCry, juga dikenal dengan nama WannaCrypt, WanaCrypt0r atau Wcrypt adalah ransomware yang menargetkan sistem operasi Windows. Ditemukan pada 12ⁱⁿⁱ Mei 2017, WannaCrypt digunakan dalam serangan Cyber ​​besar dan sejak itu menginfeksi lebih dari 230.000 PC Windows di 150 negara. sekarang.

Apa itu ransomware WannaCry

Hit awal WannaCrypt termasuk Layanan Kesehatan Nasional Inggris, perusahaan telekomunikasi Spanyol Telefónica, dan perusahaan logistik FedEx. Seperti itulah skala kampanye ransomware yang menyebabkan kekacauan di seluruh rumah sakit di Inggris Raya in. Banyak dari mereka harus ditutup yang memicu penutupan operasi dalam waktu singkat, sementara staf terpaksa menggunakan pena dan kertas untuk pekerjaan mereka dengan sistem yang dikunci oleh Ransomware.

Bagaimana ransomware WannaCry masuk ke komputer Anda your

Terbukti dari serangannya di seluruh dunia, WannaCrypt pertama-tama mendapatkan akses ke sistem komputer melalui an Lampiran email dan setelah itu dapat menyebar dengan cepat melalui LAN. Ransomware dapat mengenkripsi hard disk sistem Anda dan mencoba untuk mengeksploitasi Kerentanan UKM untuk menyebar ke komputer acak di Internet melalui port TCP dan antar komputer di jaringan yang sama.

Siapa yang menciptakan WannaCry

Tidak ada laporan yang dikonfirmasi tentang siapa yang telah membuat WannaCrypt meskipun WanaCrypt0r 2.0 tampaknya menjadi 2^dan upaya yang dilakukan oleh penulisnya. Pendahulunya, Ransomware WeCry, ditemukan pada Februari tahun ini dan menuntut 0.1 Bitcoin untuk membuka kunci.

Saat ini, penyerang dilaporkan menggunakan exploit Microsoft Windows Windows Biru Abadi yang diduga dibuat oleh NSA. Alat-alat ini dilaporkan telah dicuri dan dibocorkan oleh kelompok bernama Pialang Bayangan.

Bagaimana WannaCry menyebar

Ransomware ini menyebar dengan menggunakan kerentanan dalam implementasi Server Message Block (SMB) di sistem Windows. Eksploitasi ini disebut sebagai Biru Abadi yang dilaporkan dicuri dan disalahgunakan oleh kelompok bernama Pialang Bayangan.

Menariknya, Biru Abadi adalah senjata peretasan yang dikembangkan oleh NSA untuk mendapatkan akses dan memerintahkan komputer yang menjalankan Microsoft Windows. Itu dirancang khusus untuk unit intelijen militer Amerika untuk mendapatkan akses ke komputer yang digunakan oleh teroris.

WannaCrypt membuat vektor entri di mesin yang masih belum ditambal bahkan setelah perbaikan tersedia. WannaCrypt menargetkan semua versi Windows yang tidak ditambal MS-17-010, yang dirilis Microsoft pada Maret 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.

Pola infeksi yang umum meliputi:

• Kedatangan melalui email rekayasa sosial yang dirancang untuk mengelabui pengguna agar menjalankan malware dan mengaktifkan fungsi penyebaran worm dengan eksploitasi SMB. Laporan mengatakan bahwa malware dikirim dalam bentuk file Microsoft Word yang terinfeksi yang dikirim melalui email, menyamar sebagai tawaran pekerjaan, faktur, atau dokumen lain yang relevan.
• Infeksi melalui eksploitasi SMB ketika komputer yang tidak ditambal dapat ditangani di mesin lain yang terinfeksi

WannaCry adalah penetes Trojan

Menampilkan properti dari Trojan penetes, WannaCry, mencoba menghubungkan domain hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, menggunakan API InternetOpenUrlA():

Namun, jika koneksi berhasil, ancaman tidak akan menginfeksi sistem lebih lanjut dengan ransomware atau mencoba mengeksploitasi sistem lain untuk menyebar; itu hanya menghentikan eksekusi. Hanya ketika koneksi gagal, penetes melanjutkan untuk menjatuhkan ransomware dan membuat layanan pada sistem.

Oleh karena itu, memblokir domain dengan firewall baik di ISP atau tingkat jaringan perusahaan akan menyebabkan ransomware terus menyebar dan mengenkripsi file.

Inilah tepatnya bagaimana seorang peneliti keamanan benar-benar menghentikan wabah Ransomware WannaCry! Peneliti ini merasa bahwa tujuan dari pemeriksaan domain ini adalah agar ransomware memeriksa apakah itu dijalankan di Sandbox. Namun, peneliti keamanan lain merasa bahwa pemeriksaan domain tidak mengetahui proxy.

Saat Dieksekusi, WannaCrypt membuat kunci registri berikut:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.mantan”
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “”

Ini mengubah wallpaper menjadi pesan tebusan dengan memodifikasi kunci registri berikut:

• HKCU\Control Panel\Desktop\Wallpaper: “\@[dilindungi email]”

Tebusan yang diminta terhadap kunci dekripsi dimulai dengan $300 Bitcoin yang meningkat setiap beberapa jam.

Ekstensi file yang terinfeksi oleh WannaCrypt

WannaCrypt mencari seluruh komputer untuk file apa pun dengan salah satu ekstensi nama file berikut: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dokter , .js , .sch , .3dm , .jsp , .SH , .3ds , .kunci , .sldm , .3g2 , .awam , .sldm , .3gp , .berbaring6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maksimal , .sql , .BUSUR , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .pertengahan , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .pindah , .stw , .cadangan , .mp3 , .suo , .bak , .mp4 , .svg , .kelelawar , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .pesan , .sxd , .bz2 , .myd , .sxi , .c , .ku I , .sxm , .cgm , .nef , .sxw , .kelas , .odb , .ter , .cmd , .aneh , .tbk , .cpp , .odp , .tgz , .crt , .peluang , .tif , .cs , .odt , .bertengkar , .csr , .onetoc2 , .txt , .csv , .ost , .up , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .berbeda , .hal 12 , .video , .menukik , .PAQ , .vmdk , .djvu , .pas , .vmx , .dok , .pdf , .vob , .dok , .pem , .vsd , .dok , .pfx , .vsdx , .dot , .php , .wav , .titik , .tolong , .wb2 , .titik , .png , .minggu ke-1 , .dwg , .pot , .minggu , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .dari , .ppsm , .xl , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .botol , .jarang , .zip , .Jawa , .mentah

Itu kemudian mengganti nama mereka dengan menambahkan “.WNCRY” ke nama file

WannaCry memiliki kemampuan penyebaran yang cepat

Fungsionalitas worm di WannaCry memungkinkannya menginfeksi mesin Windows yang belum ditambal di jaringan lokal. Pada saat yang sama, ia juga melakukan pemindaian besar-besaran pada alamat IP Internet untuk menemukan dan menginfeksi PC rentan lainnya. Aktivitas ini menghasilkan data lalu lintas SMB besar yang berasal dari host yang terinfeksi, dan dapat dengan mudah dilacak oleh personel SecOps.

Setelah WannaCry berhasil menginfeksi mesin yang rentan, ia menggunakannya untuk melompat menginfeksi PC lain. Siklus selanjutnya berlanjut, karena perutean pemindaian menemukan komputer yang belum ditambal.

Bagaimana melindungi dari WannaCry

1. Microsoft merekomendasikan upgrade ke Windows 10 karena dilengkapi dengan fitur terbaru dan mitigasi proaktif.
2. Instal pembaruan keamanan MS17-010 dirilis oleh Microsoft. Perusahaan juga telah merilis patch keamanan untuk versi Windows yang tidak didukung seperti Windows XP, Windows Server 2003, dll.
3. Pengguna Windows disarankan untuk sangat waspada terhadap email Phishing dan sangat berhati-hati saat membuka lampiran email atau mengklik tautan web.
4. Membuat cadangan dan  simpan dengan aman
5. Antivirus Windows Defender mendeteksi ancaman ini sebagai Tebusan: Win32/WannaCrypt jadi aktifkan dan perbarui dan jalankan Windows Defender Antivirus untuk mendeteksi ransomware ini.
6. Manfaatkan beberapa Alat Ransomware Anti-WannaCry.
7. EternalBlue Vulnerability Checker adalah alat gratis yang memeriksa apakah komputer Windows Anda rentan terhadap Eksploitasi Biru Abadi.
8. Nonaktifkan SMB1 dengan langkah-langkah yang didokumentasikan di KB2696547.
9. Pertimbangkan untuk menambahkan aturan di router atau firewall Anda untuk memblokir lalu lintas SMB yang masuk di port 445
10. Pengguna perusahaan dapat menggunakan Penjaga Perangkat untuk mengunci perangkat dan menyediakan keamanan berbasis virtualisasi tingkat kernel, yang memungkinkan hanya aplikasi tepercaya yang dapat dijalankan.

Untuk mengetahui lebih lanjut tentang topik ini, baca blog Technet.

WannaCrypt mungkin telah dihentikan untuk saat ini, tetapi Anda mungkin mengharapkan varian yang lebih baru menyerang lebih ganas, jadi tetaplah aman dan terlindungi.

Pelanggan Microsoft Azure mungkin ingin membaca saran Microsoft tentang cara menghindari Ancaman Ransomware WannaCrypt.

MEMPERBARUI: Dekripsi Ransomware WannaCry tersedia. Dalam kondisi yang menguntungkan, InginKey dan WanaKiwi, dua alat dekripsi dapat membantu mendekripsi file terenkripsi WannaCrypt atau WannaCry Ransomware dengan mengambil kunci enkripsi yang digunakan oleh ransomware.