Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android
Bloggar

Hur man blir säker från WanaCrypt0r Ransomware

0 views
3 min read

Denna handledning handlar om hur du blir säker från WanaCrypt0r Ransomware.

Vi kommer att göra vårt bästa så att du förstår den här guiden.

Jag hoppas att du gillar den här bloggen Hur man blir säker från WanaCrypt0r Ransomware.

Om ditt svar är ja, vänligen dela efter att ha läst detta.

Kontrollera hur du blir säker från WanaCrypt0r Ransomware

I de flesta fall sprids inte ransomware snabbt.

WannaCrypt (även känd som WannaCry, WanaCrypt0r, WCrypt eller WCRY) är en ransomware-attack som bygger på att offer laddar ner och kör ett skadligt e-postmeddelande.

I detta unika exempel utnyttjade emellertid ransomware-författarna allmänt tillgänglig exploateringskod för att sprida WannaCrypt.

På grund av dess maskliknande egenskaper förvandlades ett standardutsättningsprogram till en betydligt kraftfullare cyberattack som ett resultat av denna exploateringskod.

Trots tillgången på en fix tillät de maskliknande egenskaperna hos denna ransomware den att infektera oparpade datorer.

Den 12 maj 2017 introducerades ett nytt ransomware till världen som sprider sig som en mask genom att utnyttja tidigare korrigerade sårbarheter.

Medan de flesta datorer får säkerhetsuppdateringar automatiskt, kan vissa individer och organisationer välja att skjuta upp patchdistributionen.

Tyvärr verkar ransomwaren känd som WannaCrypt ha infekterade datorer som inte har korrigerats för dessa brister.

Vi påminner dig om att uppdatera dina datorsystem om du inte redan har gjort det medan misshandeln fortsätter.

Hur attacken fungerar

Hotet kommer som en trojansk droppare som har följande två komponenter:

  1. En komponent som försöker utnyttja CVE-2017-0145 SMB-sårbarheten på andra datorer
  2. Ransomware känd som WannaCrypt

Droppern försöker ansluta följande domäner med InternetOpenUrlA() API:

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Om anslutningen till domänerna lyckas, infekterar dropparen inte systemet ytterligare med ransomware eller försöker utnyttja andra system för att spridas; det stoppar bara exekveringen.

Men om anslutningen misslyckas fortsätter hotet att ta bort ransomware och skapar en tjänst på systemet.

Med andra ord, till skillnad från de flesta malwareinfektioner, IT-administratörer bör INTE blockera dessa domäner.

Observera att skadlig programvara inte stöder proxy, så en lokal DNS-post kan krävas.

Detta behöver inte peka på Internet, utan kan lösas till vilken tillgänglig server som helst som accepterar anslutningar på TCP 80.

Hotet skapar en tjänst som heter mssecsvc2.0, vars funktion är att utnyttja SMB-sårbarheten på andra datorer som är tillgängliga från det infekterade systemet:

Tjänstens namn: mssecsvc2.0 Tjänstebeskrivning: (Microsoft Security Center Service (2.0)) Tjänstparametrar: “-m security”

Hur WannaCry ransomware påverkar din organisations IT-system

Ransomware-komponenten är en dropper som innehåller en lösenordsskyddad .zip-fil i resurssektionen.

Dokumentkrypteringsrutinen och filerna i .zip-arkivet innehåller stödverktyg, ett dekrypteringsverktyg och lösenmeddelandet.

I exemplen vi testade är lösenordet för .zip-filen “WNcry@2ol7”.

När den körs skapar WannaCrypt följande registernycklar:

  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun = “tasksche.exe”
  • HKLMSOFTWAREWanaCrypt0rwd = “”

Ändra bakgrunden till ett lösenmeddelande genom att ändra följande registernyckel:

  • HKCUControl PanelDesktopWallpaper: “@WanaDecryptor@.bmp”

Den skapar följande filer i skadlig programvaras arbetskatalog:

  • 00000000.eky
  • 00000000.pky
  • 00000000.res
  • 274901494632976.bat
  • @Please_readme@.txt
  • @WanaDecryptor@.bmp
  • @WanaDecryptor@.exe
  • b.wnry
  • c vred
  • f.wry
  • m.vbs
  • msgm_bulgarian.wnry
  • msgm_chinese (förenklad).wnry
  • msgm_chinese (traditionell).wnry
  • msgm_croatian.wnry
  • msgm_czech.wnry
  • msjm_danish.wnry
  • messagem_dutch.wnry
  • msgm_english.wnry
  • msjm_filipino.wnry
  • msgm_finnish.wnry
  • msgm_frances.wnry
  • msjm_german.wnry
  • messagem_greek.wnry
  • msgm_indonesian.wnry
  • msgm_italiano.wnry
  • msgm_japanese.wnry
  • msgm_korean.wnry
  • msgm_latvian.wnry
  • msgm_norwegian.wnry
  • messagem_polish.wnry
  • msgm_portuguese.wnry
  • msjm_romanian.wnry
  • msjm_russian.wnry
  • msgm_slovak.wnry
  • msgm_english.wnry
  • msgm_swedish.wnry
  • msgm_turco.wnry
  • msgm_vietnamese.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • TaskDataTorlibeay32.dll
  • TaskDataTorlibevent-2-0-5.dll
  • TaskDataTorlibevent_core-2-0-5.dll
  • TaskDataTorlibevent_extra-2-0-5.dll
  • TaskDataTorlibgcc_s_sjlj-1.dll
  • TaskDataTorlibssp-0.dll
  • TaskDataTorssleay32.dll
  • TaskDataTortaskhsvc.exe
  • TaskDataTortor.exe
  • TaskDataTorzlib1.dll
  • taskdl.exe
  • taske.exe
  • u.wry

WannaCrypt kan också skapa följande filer:

  • %System Root%tasksche.exe
  • %SystemDrive%inteltaskche.exe
  • %ProgramData%taskche.exe

Du kan skapa en slumpmässigt namngiven tjänst som har följande ImagePath associerad med sig: “cmd.exe /c “tasksche.exe””.

Slutord: Hur man blir säker från WanaCrypt0r Ransomware

Jag hoppas att du förstår den här artikeln Hur man blir säker från WanaCrypt0r Ransomware, om ditt svar är nej kan du fråga vad som helst via kontaktforumsektionen relaterat till den här artikeln.

Och om ditt svar är ja, vänligen dela den här artikeln med din familj och vänner.

Post Views: 7