Hur man blir sÀker frÄn WanaCrypt0r Ransomware

James Hogan

Denna handledning handlar om hur du blir sÀker frÄn WanaCrypt0r Ransomware. Vi kommer att göra vÄrt bÀsta sÄ att du förstÄr den hÀr guiden. Jag hoppas att du gillar den hÀr bloggen Hur man blir sÀker frÄn WanaCrypt0r Ransomware. Om ditt svar Àr ja, vÀnligen dela efter att ha lÀst detta.

Kontrollera hur du blir sÀker frÄn WanaCrypt0r Ransomware

I de flesta fall sprids inte ransomware snabbt. WannaCrypt (Àven kÀnd som WannaCry, WanaCrypt0r, WCrypt eller WCRY) Àr en ransomware-attack som bygger pÄ att offer laddar ner och kör ett skadligt e-postmeddelande. I detta unika exempel utnyttjade emellertid ransomware-författarna allmÀnt tillgÀnglig exploateringskod för att sprida WannaCrypt. PÄ grund av dess maskliknande egenskaper förvandlades ett standardutsÀttningsprogram till en betydligt kraftfullare cyberattack som ett resultat av denna exploateringskod. Trots tillgÄngen pÄ en fix tillÀt de maskliknande egenskaperna hos denna ransomware den att infektera oparpade datorer.

Den 12 maj 2017 introducerades ett nytt ransomware till vÀrlden som sprider sig som en mask genom att utnyttja tidigare korrigerade sÄrbarheter. Medan de flesta datorer fÄr sÀkerhetsuppdateringar automatiskt, kan vissa individer och organisationer vÀlja att skjuta upp patchdistributionen. TyvÀrr verkar ransomwaren kÀnd som WannaCrypt ha infekterade datorer som inte har korrigerats för dessa brister. Vi pÄminner dig om att uppdatera dina datorsystem om du inte redan har gjort det medan misshandeln fortsÀtter.

Hur attacken fungerar

Hotet kommer som en trojansk droppare som har följande tvÄ komponenter:

  1. En komponent som försöker utnyttja CVE-2017-0145 SMB-sÄrbarheten pÄ andra datorer
  2. Ransomware kÀnd som WannaCrypt

Droppern försöker ansluta följande domÀner med InternetOpenUrlA() API:

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Om anslutningen till domÀnerna lyckas, infekterar dropparen inte systemet ytterligare med ransomware eller försöker utnyttja andra system för att spridas; det stoppar bara exekveringen. Men om anslutningen misslyckas fortsÀtter hotet att ta bort ransomware och skapar en tjÀnst pÄ systemet.

Med andra ord, till skillnad frÄn de flesta malwareinfektioner, IT-administratörer bör INTE blockera dessa domÀner. Observera att skadlig programvara inte stöder proxy, sÄ en lokal DNS-post kan krÀvas. Detta behöver inte peka pÄ Internet, utan kan lösas till vilken tillgÀnglig server som helst som accepterar anslutningar pÄ TCP 80.

Hotet skapar en tjÀnst som heter mssecsvc2.0, vars funktion Àr att utnyttja SMB-sÄrbarheten pÄ andra datorer som Àr tillgÀngliga frÄn det infekterade systemet:

TjĂ€nstens namn: mssecsvc2.0 TjĂ€nstebeskrivning: (Microsoft Security Center Service (2.0)) TjĂ€nstparametrar: “-m security”

Hur WannaCry ransomware pÄverkar din organisations IT-system

Ransomware-komponenten Ă€r en dropper som innehĂ„ller en lösenordsskyddad .zip-fil i resurssektionen. Dokumentkrypteringsrutinen och filerna i .zip-arkivet innehĂ„ller stödverktyg, ett dekrypteringsverktyg och lösenmeddelandet. I exemplen vi testade Ă€r lösenordet för .zip-filen “[email protected]”.

NÀr den körs skapar WannaCrypt följande registernycklar:

  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun = “tasksche.exe”
  • HKLMSOFTWAREWanaCrypt0rwd = “”

Ändra bakgrunden till ett lösenmeddelande genom att Ă€ndra följande registernyckel:

Den skapar följande filer i skadlig programvaras arbetskatalog:

  • 00000000.eky
  • 00000000.pky
  • 00000000.res
  • 274901494632976.bat
  • @[email protected]
  • @[email protected]
  • @[email protected]
  • b.wnry
  • c vred
  • f.wry
  • m.vbs
  • msgm_bulgarian.wnry
  • msgm_chinese (förenklad).wnry
  • msgm_chinese (traditionell).wnry
  • msgm_croatian.wnry
  • msgm_czech.wnry
  • msjm_danish.wnry
  • messagem_dutch.wnry
  • msgm_english.wnry
  • msjm_filipino.wnry
  • msgm_finnish.wnry
  • msgm_frances.wnry
  • msjm_german.wnry
  • messagem_greek.wnry
  • msgm_indonesian.wnry
  • msgm_italiano.wnry
  • msgm_japanese.wnry
  • msgm_korean.wnry
  • msgm_latvian.wnry
  • msgm_norwegian.wnry
  • messagem_polish.wnry
  • msgm_portuguese.wnry
  • msjm_romanian.wnry
  • msjm_russian.wnry
  • msgm_slovak.wnry
  • msgm_english.wnry
  • msgm_swedish.wnry
  • msgm_turco.wnry
  • msgm_vietnamese.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • TaskDataTorlibeay32.dll
  • TaskDataTorlibevent-2-0-5.dll
  • TaskDataTorlibevent_core-2-0-5.dll
  • TaskDataTorlibevent_extra-2-0-5.dll
  • TaskDataTorlibgcc_s_sjlj-1.dll
  • TaskDataTorlibssp-0.dll
  • TaskDataTorssleay32.dll
  • TaskDataTortaskhsvc.exe
  • TaskDataTortor.exe
  • TaskDataTorzlib1.dll
  • taskdl.exe
  • taske.exe
  • u.wry

WannaCrypt kan ocksÄ skapa följande filer:

  • %System Root%tasksche.exe
  • %SystemDrive%inteltaskche.exe
  • %ProgramData%taskche.exe

Du kan skapa en slumpmĂ€ssigt namngiven tjĂ€nst som har följande ImagePath associerad med sig: “cmd.exe /c “tasksche.exe””.

Slutord: Hur man blir sÀker frÄn WanaCrypt0r Ransomware

Jag hoppas att du förstÄr den hÀr artikeln Hur man blir sÀker frÄn WanaCrypt0r Ransomware, om ditt svar Àr nej kan du frÄga vad som helst via kontaktforumsektionen relaterat till den hÀr artikeln. Och om ditt svar Àr ja, vÀnligen dela den hÀr artikeln med din familj och vÀnner.