Ransomware WannaCry, juga dikenal dengan nama WannaCrypt, WanaCrypt0r atau Wcrypt adalah ransomware yang menargetkan sistem operasi Windows. Ditemukan pada 12ini Mei 2017, WannaCrypt digunakan dalam serangan Cyber besar dan sejak itu menginfeksi lebih dari 230.000 PC Windows di 150 negara. sekarang.
Apa itu ransomware WannaCry
Hit awal WannaCrypt termasuk Layanan Kesehatan Nasional Inggris, perusahaan telekomunikasi Spanyol Telefónica, dan perusahaan logistik FedEx. Seperti itulah skala kampanye ransomware yang menyebabkan kekacauan di seluruh rumah sakit di Inggris Raya in. Banyak dari mereka harus ditutup yang memicu penutupan operasi dalam waktu singkat, sementara staf terpaksa menggunakan pena dan kertas untuk pekerjaan mereka dengan sistem yang dikunci oleh Ransomware.
Bagaimana ransomware WannaCry masuk ke komputer Anda your
Terbukti dari serangannya di seluruh dunia, WannaCrypt pertama-tama mendapatkan akses ke sistem komputer melalui an Lampiran email dan setelah itu dapat menyebar dengan cepat melalui LAN. Ransomware dapat mengenkripsi hard disk sistem Anda dan mencoba untuk mengeksploitasi Kerentanan UKM untuk menyebar ke komputer acak di Internet melalui port TCP dan antar komputer di jaringan yang sama.
Siapa yang menciptakan WannaCry
Tidak ada laporan yang dikonfirmasi tentang siapa yang telah membuat WannaCrypt meskipun WanaCrypt0r 2.0 tampaknya menjadi 2dan upaya yang dilakukan oleh penulisnya. Pendahulunya, Ransomware WeCry, ditemukan pada Februari tahun ini dan menuntut 0.1 Bitcoin untuk membuka kunci.
Saat ini, penyerang dilaporkan menggunakan exploit Microsoft Windows Windows Biru Abadi yang diduga dibuat oleh NSA. Alat-alat ini dilaporkan telah dicuri dan dibocorkan oleh kelompok bernama Pialang Bayangan.
Bagaimana WannaCry menyebar
Ransomware ini menyebar dengan menggunakan kerentanan dalam implementasi Server Message Block (SMB) di sistem Windows. Eksploitasi ini disebut sebagai Biru Abadi yang dilaporkan dicuri dan disalahgunakan oleh kelompok bernama Pialang Bayangan.
Menariknya, Biru Abadi adalah senjata peretasan yang dikembangkan oleh NSA untuk mendapatkan akses dan memerintahkan komputer yang menjalankan Microsoft Windows. Itu dirancang khusus untuk unit intelijen militer Amerika untuk mendapatkan akses ke komputer yang digunakan oleh teroris.
WannaCrypt membuat vektor entri di mesin yang masih belum ditambal bahkan setelah perbaikan tersedia. WannaCrypt menargetkan semua versi Windows yang tidak ditambal MS-17-010, yang dirilis Microsoft pada Maret 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.
Pola infeksi yang umum meliputi:
- Kedatangan melalui email rekayasa sosial yang dirancang untuk mengelabui pengguna agar menjalankan malware dan mengaktifkan fungsi penyebaran worm dengan eksploitasi SMB. Laporan mengatakan bahwa malware dikirim dalam bentuk file Microsoft Word yang terinfeksi yang dikirim melalui email, menyamar sebagai tawaran pekerjaan, faktur, atau dokumen lain yang relevan.
- Infeksi melalui eksploitasi SMB ketika komputer yang tidak ditambal dapat ditangani di mesin lain yang terinfeksi
WannaCry adalah penetes Trojan
Menampilkan properti dari Trojan penetes, WannaCry, mencoba menghubungkan domain hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, menggunakan API InternetOpenUrlA():
Namun, jika koneksi berhasil, ancaman tidak akan menginfeksi sistem lebih lanjut dengan ransomware atau mencoba mengeksploitasi sistem lain untuk menyebar; itu hanya menghentikan eksekusi. Hanya ketika koneksi gagal, penetes melanjutkan untuk menjatuhkan ransomware dan membuat layanan pada sistem.
Oleh karena itu, memblokir domain dengan firewall baik di ISP atau tingkat jaringan perusahaan akan menyebabkan ransomware terus menyebar dan mengenkripsi file.
Inilah tepatnya bagaimana seorang peneliti keamanan benar-benar menghentikan wabah Ransomware WannaCry! Peneliti ini merasa bahwa tujuan dari pemeriksaan domain ini adalah agar ransomware memeriksa apakah itu dijalankan di Sandbox. Namun, peneliti keamanan lain merasa bahwa pemeriksaan domain tidak mengetahui proxy.
Saat Dieksekusi, WannaCrypt membuat kunci registri berikut:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
= “ \tasksche.mantan” - HKLM\SOFTWARE\WanaCrypt0r\\wd = “
” - HKLM\SOFTWARE\WanaCrypt0r\\wd = “
Ini mengubah wallpaper menjadi pesan tebusan dengan memodifikasi kunci registri berikut:
- HKCU\Control Panel\Desktop\Wallpaper: “
\@[dilindungi email]”
Tebusan yang diminta terhadap kunci dekripsi dimulai dengan $300 Bitcoin yang meningkat setiap beberapa jam.
Ekstensi file yang terinfeksi oleh WannaCrypt
WannaCrypt mencari seluruh komputer untuk file apa pun dengan salah satu ekstensi nama file berikut: .123, .jpeg , .rb , .602 , .jpg , .rtf , .dokter , .js , .sch , .3dm , .jsp , .SH , .3ds , .kunci , .sldm , .3g2 , .awam , .sldm , .3gp , .berbaring6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .maksimal , .sql , .BUSUR , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .pertengahan , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .pindah , .stw , .cadangan , .mp3 , .suo , .bak , .mp4 , .svg , .kelelawar , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .pesan , .sxd , .bz2 , .myd , .sxi , .c , .ku I , .sxm , .cgm , .nef , .sxw , .kelas , .odb , .ter , .cmd , .aneh , .tbk , .cpp , .odp , .tgz , .crt , .peluang , .tif , .cs , .odt , .bertengkar , .csr , .onetoc2 , .txt , .csv , .ost , .up , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .berbeda , .hal 12 , .video , .menukik , .PAQ , .vmdk , .djvu , .pas , .vmx , .dok , .pdf , .vob , .dok , .pem , .vsd , .dok , .pfx , .vsdx , .dot , .php , .wav , .titik , .tolong , .wb2 , .titik , .png , .minggu ke-1 , .dwg , .pot , .minggu , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .dari , .ppsm , .xl , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .botol , .jarang , .zip , .Jawa , .mentah
Itu kemudian mengganti nama mereka dengan menambahkan “.WNCRY” ke nama file
WannaCry memiliki kemampuan penyebaran yang cepat
Fungsionalitas worm di WannaCry memungkinkannya menginfeksi mesin Windows yang belum ditambal di jaringan lokal. Pada saat yang sama, ia juga melakukan pemindaian besar-besaran pada alamat IP Internet untuk menemukan dan menginfeksi PC rentan lainnya. Aktivitas ini menghasilkan data lalu lintas SMB besar yang berasal dari host yang terinfeksi, dan dapat dengan mudah dilacak oleh personel SecOps.
Setelah WannaCry berhasil menginfeksi mesin yang rentan, ia menggunakannya untuk melompat menginfeksi PC lain. Siklus selanjutnya berlanjut, karena perutean pemindaian menemukan komputer yang belum ditambal.
Bagaimana melindungi dari WannaCry
- Microsoft merekomendasikan upgrade ke Windows 10 karena dilengkapi dengan fitur terbaru dan mitigasi proaktif.
- Instal pembaruan keamanan MS17-010 dirilis oleh Microsoft. Perusahaan juga telah merilis patch keamanan untuk versi Windows yang tidak didukung seperti Windows XP, Windows Server 2003, dll.
- Pengguna Windows disarankan untuk sangat waspada terhadap email Phishing dan sangat berhati-hati saat membuka lampiran email atau mengklik tautan web.
- Membuat cadangan dan simpan dengan aman
- Antivirus Windows Defender mendeteksi ancaman ini sebagai Tebusan: Win32/WannaCrypt jadi aktifkan dan perbarui dan jalankan Windows Defender Antivirus untuk mendeteksi ransomware ini.
- Manfaatkan beberapa Alat Ransomware Anti-WannaCry.
- EternalBlue Vulnerability Checker adalah alat gratis yang memeriksa apakah komputer Windows Anda rentan terhadap Eksploitasi Biru Abadi.
- Nonaktifkan SMB1 dengan langkah-langkah yang didokumentasikan di KB2696547.
- Pertimbangkan untuk menambahkan aturan di router atau firewall Anda untuk memblokir lalu lintas SMB yang masuk di port 445
- Pengguna perusahaan dapat menggunakan Penjaga Perangkat untuk mengunci perangkat dan menyediakan keamanan berbasis virtualisasi tingkat kernel, yang memungkinkan hanya aplikasi tepercaya yang dapat dijalankan.
Untuk mengetahui lebih lanjut tentang topik ini, baca blog Technet.
WannaCrypt mungkin telah dihentikan untuk saat ini, tetapi Anda mungkin mengharapkan varian yang lebih baru menyerang lebih ganas, jadi tetaplah aman dan terlindungi.
Pelanggan Microsoft Azure mungkin ingin membaca saran Microsoft tentang cara menghindari Ancaman Ransomware WannaCrypt.
MEMPERBARUI: Dekripsi Ransomware WannaCry tersedia. Dalam kondisi yang menguntungkan, InginKey dan WanaKiwi, dua alat dekripsi dapat membantu mendekripsi file terenkripsi WannaCrypt atau WannaCry Ransomware dengan mengambil kunci enkripsi yang digunakan oleh ransomware.