WannaCry verspreidt zich via protocollen voor het delen van bestanden die zijn geïnstalleerd op de computers van bedrijven en overheidsinstanties. Ransomware beschadigt Windows-computers.

Meer dan 98% van de WannaCry-ransomware-infecties vindt plaats op computers met Windows 7, waarbij meer dan 60% van de infecties de 64-bits versie van het besturingssysteem treft. Dergelijke gegevens zijn gepubliceerd door analisten van Kaspersky Lab. Volgens statistieken draait minder dan 1% van de geïnfecteerde computers versies van Windows Server 2008 R2 en Windows 10 (0,03%).

Nadat het virus de map met documenten en andere bestanden is binnengedrongen, codeert het deze en verandert de extensie in .WNCRY. De malware eist vervolgens dat u een speciale sleutel koopt, die tussen de $300 en $600 kost, waardoor u dreigt uw bestanden anders te verwijderen.

Over het algemeen is WannaCry een exploit die wordt gebruikt om te infecteren en zich te verspreiden, plus een ransomware die naar de computer wordt gedownload nadat de infectie heeft plaatsgevonden.

Dit is een belangrijk verschil tussen WannaCry en de meeste andere encryptors. Om uw computer te infecteren met bijvoorbeeld gewone ransomware, moet de gebruiker een fout maken: klik op een verdachte link, laat een macro uitvoeren in Word, download een dubieuze bijlage uit een e-mail. Je kunt besmet raken met WannaCry zonder dat je er iets voor hoeft te doen.

De makers van WannaCry gebruikten een Windows-exploit die bekend staat als EternalBlue. Het maakt misbruik van een kwetsbaarheid die Microsoft op 14 maart van dit jaar heeft opgelost in beveiligingsupdate MS17-010. Met behulp van deze exploit konden aanvallers op afstand toegang krijgen tot een computer en de daadwerkelijke ransomware daarop installeren.

Als u de update heeft geïnstalleerd en de kwetsbaarheid is gedicht, kunt u uw computer niet op afstand hacken. Kaspersky Lab-onderzoekers van GReAT wijzen er echter specifiek op dat het sluiten van de kwetsbaarheid op geen enkele manier verhindert dat de ransomware zelf werkt, dus als je hem op de een of andere manier start, zal de patch je niet redden.

Nadat WannaCry met succes een computer heeft gehackt, probeert het zich als een worm via het lokale netwerk naar andere computers te verspreiden. Het scant andere computers op de aanwezigheid van dezelfde kwetsbaarheid die kan worden uitgebuit met EternalBlue, en als het deze vindt, valt het deze ook aan en codeert het.

Het blijkt dat WannaCry, eenmaal op één computer, het hele lokale netwerk kan infecteren en alle daarin aanwezige computers kan versleutelen. Dit is de reden waarom grote bedrijven het meest te lijden hadden onder WannaCry: hoe meer computers op het netwerk, hoe groter de schade.

Bovendien trof het virus computers in Spanje, Italië, Duitsland, Portugal, Turkije, Oekraïne, Kazachstan, Indonesië, Vietnam, Japan en de Filippijnen.

Uit de analyse bleek dat vrijwel alle losgeldberichten via Google Translate werden vertaald, waarbij alleen de Engelse en twee Chinese versies (vereenvoudigd en klassiek) waarschijnlijk door moedertaalsprekers waren geschreven.

Hoewel het Engelse bericht is geschreven door iemand die de taal vloeiend spreekt, geeft een grove grammaticale fout aan dat het niet de moedertaal van de auteur is. Flashpoint ontdekte dat de Engelse tekst de primaire bron werd, die vervolgens in andere talen werd vertaald.

Chinese losgeldberichten verschillen qua inhoud en toon van andere. Daarnaast, groot aantal unieke karakters geven aan dat ze zijn geschreven door iemand die vloeiend Chinees spreekt.

Drie maanden na het begin van de aanvallen met de WannaCry-ransomware haalden de makers al het beschikbare geld in Bitcoin-wallets terug - meer dan $142.000. De transacties werden opgemerkt door een bot uit de Quartz-publicatie. De ransomware eiste van zijn slachtoffers een losgeld van $300-$600 in Bitcoin. Al het ontvangen geld werd verdeeld over drie portemonnees. In de nacht van 3 augustus 2017 werden zeven geldoverboekingen geregistreerd, die binnen 15 minuten werden uitgevoerd. Hoogstwaarschijnlijk zal het geld via een keten van andere Bitcoin-portefeuilles gaan om de uiteindelijke ontvanger te verbergen.

Wie is de schuldige

V. Poetin: Amerikaanse inlichtingendiensten

“De aanval verspreidde zich in mei zonder onderscheid over de hele wereld. Het (de WannaCry-malware - red.) versleutelde en maakte honderdduizenden computers in ziekenhuizen, scholen, bedrijven en woningen onbruikbaar. Het was kleingeestig, nalatig en veroorzaakte grote materiële schade. De aanval was wijdverbreid en kostte miljarden. De verantwoordelijkheid hiervoor ligt rechtstreeks bij Noord-Korea”, aldus Bossert.

Zoals de adviseur heeft uitgelegd, is zijn verklaring niet ongegrond en gebaseerd op tijdens het onderzoek verkregen bewijsmateriaal. Ook inlichtingendiensten en specialisten van een aantal particuliere bedrijven kwamen tot de conclusie dat Noord-Korea betrokken was bij de WannaCry-aanvallen, aldus Bossert.

Nu digitale technologieën alomtegenwoordig worden, beginnen aanvallers deze voor hun eigen doeleinden te gebruiken. Door cyberaanvallen kunnen ze anoniem blijven en hun sporen uitwissen. Via cyberaanvallen stelen criminelen intellectueel eigendom en veroorzaken ze schade in elke sector, constateert de adviseur.

Distributie in de wereld

Aanwezigheid op honderdduizenden computers over de hele wereld

Op 26 december 2018 werd bekend dat 18 maanden na een grootschalige epidemie van WannaCry-ransomware, die veel gebruikers in meer dan 100 landen trof, de malware nog steeds aanwezig is op honderdduizenden computers, volgens gegevens van Kryptos Logic. .

Volgens Kryptos Logic worden wekelijks ruim 17 miljoen pogingen om verbinding te maken met het switchdomein geregistreerd, afkomstig van ruim 630.000 unieke adressen in 194 landen. Koplopers in het aantal verbindingspogingen zijn China, Indonesië, Vietnam, India en Rusland. Zoals je zou verwachten, neemt het aantal pogingen op weekdagen toe ten opzichte van het weekend.

De aanwezigheid van ransomware op zo'n groot aantal computers kan een serieus probleem worden: één grootschalige storing op internet is voldoende om het te activeren, benadrukken experts.

Eerder introduceerde Kryptos Logic een gratis TellTale-service waarmee organisaties kunnen controleren op infecties met WannaCry of andere bekende bedreigingen.

Aanval op TSMC

's Werelds grootste chipfabrikant TSMC verloor 85 miljoen dollar door het WannaCry-virus. Dat maakt het bedrijf bekend in een financieel rapport dat is ingediend bij de Taiwan Stock Exchange (TSE). Lees meer.

Aanval op Boeing

Zoals een woordvoerder van LG Electronics aan de Korea Herald vertelde, mislukte de poging van de ransomware om het bedrijf aan te vallen. De onmiddellijke sluiting van de netwerken van servicecentra maakte het mogelijk om gegevensversleuteling en losgeldeisen te vermijden. Volgens KISA waren de kiosken besmet met WannaCry, maar hoe de malware op de systemen terechtkwam, is onbekend. Misschien heeft iemand het programma doelbewust op de apparaten geïnstalleerd. Het is ook mogelijk dat de aanvallers een van de medewerkers hebben misleid om de malware te downloaden.

Aanvallen op autofabrikanten

Infectie van verkeerscamera's

In juni 2017 hielpen de makers van het beruchte WannaCry-ransomwarevirus onbewust Australische bestuurders om snelheidsboetes te vermijden, meldt BBC News.

Als gevolg van het incident heeft de politie in de Australische staat Victoria 590 boetes ingetrokken wegens te hard rijden en door rood rijden, hoewel wetshandhavers beweren dat alle boetes correct zijn uitgedeeld.

Waarnemend adjunct-commissaris Ross Guenther legde uit dat het publiek het volledige vertrouwen moest hebben dat het systeem correct werkte, en dat is de reden waarom de politie deze beslissing heeft genomen.

Hoewel de grootste golf van WannaCry-aanvallen medio mei 2017 plaatsvond, bleef de ransomware nog ongeveer twee maanden voor problemen zorgen. Eerder schatte het Amerikaanse informatiebeveiligingsbedrijf KnowBe4 dat de schade als gevolg van WannaCry in slechts de eerste vier dagen van distributie ruim 1 miljard dollar bedroeg, inclusief verliezen als gevolg van gegevensverlies, verminderde productiviteit, bedrijfsonderbrekingen, maar ook reputatieschade en andere factoren. .

Eerste aanval op medische apparatuur

WannaCry werd het eerste encryptievirus dat niet alleen personal computers van medische instellingen aanviel, maar ook de medische apparatuur zelf.

Kaspersky roept op tot staatscertificering van software voor medische instellingen

Tijdens de recente CeBIT Australia-tentoonstelling deelde Evgeniy Kaspersky, hoofd van antivirussoftwarefabrikant KasperskyLab, enkele gedachten over het WannaCry-ransomwarevirus. Honderdduizenden gebruikers uit 150 landen leden onder de acties van laatstgenoemde, schrijft ZDNet.

Gezien het feit dat WannaCry vooral een netwerk van medische instellingen trof, is hun bescherming van het allergrootste belang, zegt het hoofd van het antivirusbedrijf, en vereist overheidsingrijpen. “Ik kan niet anders dan denken dat regeringen meer aandacht moeten besteden aan het reguleren van cyberspace, tenminste als het gaat om kritieke gezondheidszorginfrastructuur”, zei Evgeniy.

Volgens hem zou de certificering van medische instellingen bepaalde eisen moeten omvatten die de bescherming van waardevolle gegevens garanderen. Een daarvan is het verkrijgen van speciale vergunningen, die bevestigen dat een bepaalde kliniek zich ertoe verbindt om volgens een schema een back-up van de gegevens te maken en het besturingssysteem tijdig bij te werken. Daarnaast moet de overheid een lijst opstellen van systemen en applicaties die nodig zijn voor gebruik in de zorgsector (met de specificaties die deze nodig hebben voor een veilige internetverbinding).

Evgeny Kaspersky is van mening dat apparatuur die door fabrikanten van medische apparatuur wordt geleverd, ook moet voldoen aan de eisen van overheidsinstanties. “Fabrikanten van medische apparatuur produceren gecertificeerde producten die volgens de voorwaarden van het contract niet kunnen worden gewijzigd. In veel gevallen laten deze vereisten niet toe dat de software in dergelijke apparatuur wordt vervangen of bijgewerkt. Het is niet verwonderlijk dat Windows XP vele jaren, zo niet voor altijd, ongepatcht kan blijven”, zegt de expert.

Kaart met verspreiding en schade van de WannaCry-ransomware

Amerikaanse experts schatten de schade in van een grootschalige hackeraanval die begin mei 2017 de computersystemen van overheidsinstanties, grote bedrijven en andere instellingen in 150 landen over de hele wereld trof. Volgens de beoordelaars van KnowBe4 bedroeg deze schade $1 miljard. Volgens deze gegevens heeft WannaCry in totaal 200.000 tot 300.000 computers getroffen.

“De geschatte schade veroorzaakt door WannaCry in de eerste vier dagen overschreed de $1 miljard, gezien de wijdverbreide downtime die het veroorzaakte voor grote organisaties over de hele wereld”, aldus Stu Sjuverman, CEO van KnowBe4. De totale schadeschatting omvatte gegevensverlies, productiviteitsverlies, downtime, juridische kosten, reputatieschade en andere factoren.

Gegevens vanaf 18-05-2017

Distributie in Rusland

Rusland behoort tot de top drie van landen wat betreft de verspreiding van het virus

Eind mei 2017 publiceerde Kryptos Logic, een bedrijf dat cyberbeveiligingsoplossingen ontwikkelt, een onderzoek waaruit bleek dat Rusland tot de top drie van landen behoort met het grootste aantal hackeraanvallen waarbij gebruik wordt gemaakt van het WannaCry-ransomwarevirus.

De bevindingen van Kryptos Logic zijn gebaseerd op het aantal verzoeken aan de kill-schakelaar, die infectie voorkomt. In de periode van 12 mei tot 26 mei 2017 hebben experts ongeveer 14-16 miljoen verzoeken geregistreerd.

Grafiek met landen met de hoogste verspreiding van het WannaCry-virus in de eerste twee weken, gegevens van Kryptos Logic

In de begindagen van de wijdverbreide verspreiding van WannaCry meldden antivirusbedrijven dat de meerderheid (50% tot 75%) van de cyberaanvallen waarbij dit virus werd gebruikt, in Rusland plaatsvond. Volgens Kryptos Logic was China echter de leider in dit opzicht, dat 6,2 miljoen verzoeken aan het nooddomein registreerde. Het cijfer voor de VS was 1,1 miljoen, voor Rusland - 1 miljoen.

De top tien van landen met de hoogste WannaCry-activiteit omvatte ook India (0,54 miljoen), Taiwan (0,375 miljoen), Mexico (0,3 miljoen), Oekraïne (0,238 miljoen), de Filippijnen (0,231 miljoen), Hong Kong (0,192 miljoen) en Brazilië (0,191 miljoen).

Hoofd van het ministerie van Communicatie: WannaCry heeft geen invloed gehad op Russische software

Het WannaCry-virus infecteerde geen Russische software, maar vond zwakke punten in buitenlandse software, zei de minister van Communicatie en Massacommunicatie van de Russische Federatie Nikolai Nikiforov in het “Opinion” -programma “Vesti.Ekonomika” in mei 2017.

Hij gaf toe dat sommige staatsbedrijven problemen hadden als gevolg van het virus. Daarom moeten de informatietechnologieën die in Rusland actief zijn ‘onze technologieën zijn, Russisch’, benadrukte Nikiforov.

“Bovendien hebben we wetenschappelijk en technisch potentieel. We zijn een van de weinige landen die, met enige inspanning, op organisatorisch, financieel en technisch gebied, in staat zijn om de hele stapel technologieën te creëren die ons vertrouwen geven”, zei de minister.

“Het virus heeft geen binnenlandse software aangetast, het virus heeft buitenlandse software aangetast, die we massaal gebruiken”, benadrukte hij.

Russische Veiligheidsraad: WannaCry heeft Rusland geen ernstige schade toegebracht

De Russische Veiligheidsraad heeft de schade beoordeeld die het WannaCry-virus aan de Russische infrastructuur heeft toegebracht. Zoals plaatsvervangend secretaris van de Russische Veiligheidsraad, Oleg Khramov, heeft verklaard, heeft het WannaCry-virus geen ernstige schade aangericht aan Russische kritieke informatie-infrastructuurfaciliteiten.

Deze objecten omvatten informatiesystemen in de defensie-industrie, gezondheidszorg, transport, communicatie, krediet- en financiële sectoren, energie en andere.

Khramov herinnerde eraan dat om zijn eigen kritieke informatie-infrastructuur op betrouwbare wijze te beschermen, in overeenstemming met het decreet van de president van de Russische Federatie, een staatssysteem voor het detecteren, voorkomen en elimineren van de gevolgen van computeraanvallen op de informatiebronnen van de Russische Federatie wordt ontwikkeld. consequent worden gecreëerd.

“Dankzij het genoemde staatssysteem werd ernstige schade voorkomen. De kritieke informatie-infrastructuur bleek klaar om de grootschalige verspreiding van dit virus het hoofd te bieden”, aldus Oleg Khramov.

Tegelijkertijd benadrukte de plaatsvervangend secretaris van de Veiligheidsraad van de Russische Federatie dat dergelijke bedreigingen voor de informatieveiligheid steeds geavanceerder en grootschaliger worden.

Aanval op het ministerie van Binnenlandse Zaken

Op 12 mei 2017 werd bekend over de aanval van het WannaCry-virus op de computers van het Ministerie van Binnenlandse Zaken (MVD) van Rusland. 1% van de systemen van de afdeling was geïnfecteerd.

Zoals RIA Novosti meldde onder verwijzing naar de officiële vertegenwoordiger van het Ministerie van Binnenlandse Zaken van de Russische Federatie, Irina Volk, heeft het Ministerie van Informatietechnologie, Communicatie en Informatiebeveiliging (DITSiZI) van het Ministerie van Binnenlandse Zaken van Rusland een virusaanval geregistreerd op de de personal computers van de afdeling waarop het Windows-besturingssysteem is geïnstalleerd.

Het Russische ministerie van Binnenlandse Zaken meldde dat zijn servers op 12 mei het slachtoffer waren van een hackeraanval.

Ze merkte ook op dat WannaCry de serverbronnen van het ministerie van Binnenlandse Zaken niet kon infecteren, omdat ze andere besturingssystemen en servers op Russische Elbrus-processors gebruiken.

Een aantal personal computers van afdelingsmedewerkers raakte besmet met WannaCry doordat medewerkers de regels voor het gebruik van informatiesystemen overtraden. De infectie werd veroorzaakt door pogingen van medewerkers van het Ministerie van Binnenlandse Zaken om hun kantoorcomputers ‘via een of ander mechanisme’ met internet te verbinden. Alleen de personal computers van medewerkers waren besmet; het interne netwerk van het ministerie van Binnenlandse Zaken was beschermd tegen invloeden van buitenaf.

Aanval op de Grote Drie

In het gepubliceerde document lieten de onderzoekers zien hoe ze erin slaagden de beveiligingstools van Windows 10 te omzeilen - in het bijzonder kwamen ze met een nieuwe manier om DEP (Data Execution Prevention, een preventiefunctie voor gegevensuitvoering) en ASLR (randomisatie van adresruimte-indeling) te omzeilen. .

Adylkuzz- en Uiwix-virussen

Onderzoekers merken op dat Adylkuzz eerder met aanvallen begon dan WannaCry – in ieder geval op 2 mei en mogelijk op 24 april. Het virus heeft niet zoveel aandacht gekregen omdat het veel moeilijker te herkennen is. De enige “symptomen” waar het slachtoffer op kan letten zijn de vertraging van de pc, omdat het virus systeembronnen overneemt.

Tegelijkertijd beschermde Adylkuzz de getroffen gebruikers tegen WannaCry-aanvallen, omdat het het gat in Windows dichtte en niet toestond dat een ander virus er misbruik van maakte.

Bovendien verscheen na WannaCry een andere ransomware: Uiwix, die ook misbruik maakt van een sensationele kwetsbaarheid in Windows. Dat melden specialisten van Heimdal Security.

Uiwix versleutelt, in tegenstelling tot veel WannaCry-imitators, feitelijk de bestanden van slachtoffers en vormt een reële bedreiging. Bovendien beschikt Uiwix niet over een kill-schakelaar, waardoor het onmogelijk is om de verspreiding ervan te stoppen door een specifiek domein te registreren.

Dit virus versleutelt de gegevens van de slachtoffers en eist een losgeld van 0,11943 Bitcoin (ongeveer $215 tegen de huidige wisselkoers).

Pogingen om van WannaCry te profiteren van de makers van andere virussen

In juni 2017 ontdekten onderzoekers van RiskIQ honderden mobiele applicaties die zich voordeden als bescherming tegen de WannaCry-ransomware, maar in werkelijkheid op zijn best nutteloos en in het slechtste geval kwaadaardig bleken te zijn. Dergelijke applicaties maken deel uit van een groter probleem: valse mobiele antivirussen. Lees meer.

Bugs in de WannaCry-code

De WannaCry-code zat vol bugs en was van zeer lage kwaliteit. Zo laag dat sommige slachtoffers weer toegang kunnen krijgen tot hun originele bestanden, zelfs nadat ze zijn gecodeerd.

Uit een analyse van WannaCry door onderzoekers van beveiligingsspecialist Kaspersky Lab bleek dat de meeste bugs ervoor zorgden dat de bestanden konden worden hersteld met behulp van openbaar beschikbare softwaretools of zelfs met eenvoudige opdrachten.

In één geval betekent een bug in WannaCry's alleen-lezen bestandsverwerkingsengine dat dergelijke bestanden helemaal niet kunnen worden gecodeerd. In plaats daarvan maakt de ransomware versleutelde kopieën van de bestanden van het slachtoffer. In dit geval blijven de originele bestanden onaangeroerd, maar worden ze gemarkeerd als verborgen. Dit betekent dat bestanden eenvoudig kunnen worden geretourneerd door eenvoudigweg het "verborgen" attribuut te verwijderen.

Dit is niet het enige voorbeeld van de slechte codering van WannaCry. Als ransomware het systeem binnendringt, worden bestanden die de ontwikkelaars niet belangrijk vinden, verplaatst naar een tijdelijke map. Deze bestanden bevatten originele gegevens die niet worden overschreven, maar alleen van de schijf worden verwijderd. Dit betekent dat ze kunnen worden geretourneerd met behulp van software voor gegevensherstel. Helaas, als de bestanden zich in een “belangrijke” map bevinden, zoals Documenten of Desktop, zal WannaCry de originele bestanden overschrijven met willekeurige gegevens, waardoor herstel onmogelijk wordt.

De vele bugs in de code geven de slachtoffers echter hoop, omdat het amateuristische karakter van de ransomware voldoende mogelijkheden biedt om in ieder geval de bestanden te herstellen.

“Als u bent geïnfecteerd met de WannaCry-ransomware, is de kans groot dat u veel van de bestanden op uw getroffen computer kunt herstellen. We raden individuen en organisaties aan hulpprogramma's voor bestandsherstel te gebruiken op de getroffen machines in hun netwerk”, zegt Anton Ivanov, een beveiligingsonderzoeker bij Kaspersky Lab.

Dit is niet de eerste keer dat WannaCry wordt gekarakteriseerd als een amateurvorm van ransomware. En het feit dat in de drie weken na de aanval slechts een klein deel van de geïnfecteerde slachtoffers in totaal 120.000 dollar aan Bitcoin-losgeld heeft betaald, suggereert dat de ransomware, hoewel deze voor enorme opschudding zorgde, er niet in slaagde veel geld binnen te halen. uiteindelijke doel van ransomware.

WannaCry-verwijderingstool

Hoe kunt u uw computer tegen infecties beschermen?

• Installeer alle Microsoft Windows-updates.
• Zorg ervoor dat alle netwerkknooppunten worden beschermd door uitgebreide antivirussoftware. We raden op heuristiek gebaseerde technologieën aan waarmee u nieuwe bedreigingen kunt detecteren en bescherming kunt bieden tegen zogenaamde zero-day-aanvallen. Dit verbetert de veiligheid in het geval dat voorheen onbekende malware het systeem infiltreert.
• Vermijd het gebruik van Microsoft Windows-besturingssystemen die niet door de fabrikant worden ondersteund. Voordat u oudere besturingssystemen vervangt, gebruikt u de update die door Microsoft is uitgebracht voor Windows XP, Windows 8 en Windows Server 2003.
• Gebruik services om toegang te krijgen tot informatie over de nieuwste bedreigingen.
• Als u een infectie vermoedt, koppelt u de geïnfecteerde werkstations los van het bedrijfsnetwerk en neemt u contact op met de technische ondersteuningsdienst van uw leverancier van antivirusoplossingen voor verdere aanbevelingen.

Ja, dit virus schreeuwde op 12 mei heel luid naar de hele wereld. Wanna Cry bleek niet het soort virus te zijn dat zich stilletjes en kalm over de wereld verspreidt van computer naar computer, waarmee antivirussen langzamerhand leren werken en dat na verloop van tijd een van de figuren in de tabel met erkende virussen wordt.

Nee, alles is hier veel ingewikkelder. Het virus verspreidde zich binnen een paar uur over de hele wereld. Vooral Rusland en China leden; Australië hield het enige tijd vol, maar viel ook in dit ‘gat’.

Het ging om toespraken van 's werelds leidende politici. Een van de Microsoft-topmannen legde ook een luide verklaring af, waarin hij de Amerikaanse inlichtingendiensten rechtstreeks beschuldigde van onverantwoordelijk gedrag. Het blijkt dat de Amerikaanse FBI de afgelopen jaren het Windows-systeem heeft onderzocht op allerlei soorten fouten en mazen in de wet. Voor je eigen doeleinden uiteraard. En er werden mazen in de wet gevonden: het zijn ook geen goden die bij Microsoft werken, zij hebben ook de neiging fouten te maken.

Het enige probleem is dat het onderzoek van Amerikaanse rechercheurs op de een of andere manier plotseling bekend werd bij de hele computerwereld, of beter gezegd bij degenen die een kans vonden om ervan te profiteren.

In feite is de manier waarop het Wanna Cry-virus zich verspreidt traditioneel:

Wannacry kan ook worden gestart via onbekende exe- of js-bestanden; infectie kan ook plaatsvinden via een grafisch bestand (en wat is er verleidelijker dan een sexy foto).

Er zijn gevallen waarin de infectie plaatsvond simpelweg omdat de computer online was. Hij negeert cloudtechnologieën ook niet: de predikers ervan zijn volledig te schande gemaakt, ze zijn niet zo beschermd als ons voortdurend wordt verteld. Over het algemeen is er bij de eerste blik op de huidige situatie een rand waar geen uitweg meer is, er is een muur aan de voorkant en er is geen plek om terug te gaan.

In eerste instantie leek het erop dat alleen de systeemschijf “C:” het doelwit van het virus werd. Maar naarmate de situatie zich ontwikkelde, bleek dat het virus zich had verspreid naar verwisselbare schijven, en, onverwacht, naar Windows 10. Het is niet nodig om over flashdrives te praten, ze 'branden gewoon als kaarsen'.

Hoe het zich manifesteert

Het Wanna Cry ransomware-virus, dat een pc heeft geïnfecteerd, manifesteert zich als volgt:

Ten eerste krijgt het aangevallen bestand een nieuwe extensie – “.wncry”.

Ten tweede worden aan de eerste acht tekens van de bestandsnaam de tekenreeks “wanacry!” toegevoegd.

Ten derde, en dit is het allerbelangrijkste, codeert het virus de inhoud van het bestand, en wel op zo'n manier dat het niet mogelijk is dit te herstellen, althans niet binnen een aanvaardbare tijdsperiode. En het bleek voldoende om problemen te veroorzaken in het werk van artsen in Groot-Brittannië, de politie in Rusland en managers van elektronische fabrieken in China.

Ten vierde, en dit is eenvoudigweg triviaal en is al honderden keren gedaan door "jongens" te programmeren - ze eisen 300 tot 500 dollar om bestanden te herstellen, die moeten worden overgedragen met BitCoin. Ze zeggen dat ongeveer 100 mensen het toch deden, een druppel op de gloeiende plaat in verhouding tot de totale massa van degenen die behandeling nodig hadden, waarschijnlijk rekenden de boosdoeners op veel meer.

Het virus vertelt je alles wat je moet doen in een apart venster onder de sonore kop “Oeps, je bestanden zijn gecodeerd!” Bovendien zorgden deze potentiële ontwikkelaars voor de lokalisatiedienst: de tekst voor Duitsers was in het Duits, voor Nieuw-Zeelanders in het Engels, en de Russen lazen hem in het Russisch. Alleen al door de constructie van zinnen kunnen ervaren taalkundigen bepalen waar deze cyberbandieten vandaan komen.

Om het probleem van het herstellen van informatie op te lossen, zal Kaspersky, of vooral een van de bekende encryptors, niet geschikt zijn. Het virus verwijderen door simpelweg het bestand te verwijderen werkt ook niet.

Wat te doen op de eerste momenten

Zodra het vermoeden bestaat dat wannacry, via Brisbane en Calcutta, naar je toe is gekomen in Lizyukova Street, nog vóór de daadwerkelijke behandeling, doe dan het volgende:

Wat je altijd moet doen voordat je het aas pakt

En nogmaals, onthoud die bewerkingen waar de systeemspecialist voortdurend met u over praat:

1. Houd voortdurend de laatste updates in de gaten van de software die u gebruikt, in de eerste plaats het systeem, en installeer deze op uw laptop. Trouwens, Microsoft heeft heel snel een methode voorgesteld om wanna cry te behandelen: download en installeer de nieuwste versie van het Windows 10-systeem met onmiddellijk aangebrachte wijzigingen. Hoewel er geen gedetailleerde beschrijving bestaat van het wanna cry-virus, is dit waarschijnlijker voor antivirusontwikkelaars. Ook al is het nog steeds onduidelijk hoe de bestanden moeten worden gedecodeerd, Palo Alto heeft zeer snel patches in hun softwareproducten geïmplementeerd.
2. Maak altijd een back-up van uw belangrijkste informatie. Het zou een regel moeten worden om op deze manier virussen te bestrijden: elke dinsdag en vrijdag, precies om 15.00 uur, wordt al het huidige werk stopgezet en worden er back-ups gemaakt. Als je zo’n regel niet instelt, zul je morgen moeten huilen over de verloren 100 miljoen aan winst en nadenken over hoe je het virus kunt verwijderen, niet over willen huilen, maar over marktapplaus of iets anders.
3. Als je niet online werkt, verbreek dan de verbinding, want eerlijk gezegd zijn we voortdurend verbonden met Skype, met 'contacten', gewoon uit gewoonte, voor het geval iemand belt. Vergeet niet de activering te annuleren.

Ja, 'Willen huilen' heeft niets nieuws gedaan - hetzelfde verlangen naar geld, hetzelfde verlangen om beroemd te worden (hoewel roem niet verder gaat dan de 'keuken'), hetzelfde spel over onzorgvuldigheid en onenigheid in de wereld, van de FBI en het Amerikaanse ministerie van Buitenlandse Zaken aan slecht georganiseerd werk met back-up en informatiebescherming.

14/05/2017 28/05/2017 door Vlad

Het Wanna Cry-virus is een nieuw type hackeraanval, een kwaadaardig ransomwareprogramma dat pc- en internetgebruikers over de hele wereld heeft geschokt. Hoe werkt het Wanna Cry-virus, kun je jezelf ertegen beschermen, en zo ja, hoe?

Op 12 mei werden computers met Windows-besturingssystemen over de hele wereld onderworpen aan de grootste aanval in de recente geschiedenis. We hebben het over het Wanna Cry-virus (WNCRY, Wana Decrypt0r 2.0), dat behoort tot de Ransomware-klasse, dat wil zeggen kwaadaardige ransomware die gebruikersbestanden versleutelt en losgeld vraagt ​​om de toegang ertoe te herstellen. In dit geval hebben we het over bedragen van €300 tot €600, die het slachtoffer in bitcoins naar een specifieke portemonnee moet overmaken. De hoogte van het losgeld hangt af van de tijd die is verstreken sinds het moment van infectie - na een bepaald interval neemt het toe.

De ransomware-aanval heeft veel bedrijven en organisaties over de hele wereld lamgelegd, waaronder het Spaanse telecommunicatiebedrijf Telefonica, ziekenhuizen in het Verenigd Koninkrijk en het Amerikaanse bezorgbedrijf FedEx. De grootste klap viel voor Russische gebruikers en bedrijven. Op dit moment slaagde WannaCry erin ongeveer 57.000 computers te infecteren, waaronder de bedrijfsnetwerken van het Ministerie van Binnenlandse Zaken, de Russische Spoorwegen en Megafon. Sberbank en het ministerie van Volksgezondheid meldden ook aanvallen op hun systemen.

Verspreiding van het Wanna Cry-virus

Om te voorkomen dat u zich aansluit bij degenen wier computers zijn geïnfecteerd, is het noodzakelijk om te begrijpen hoe de malware het systeem binnendringt. De computer is geïnfecteerd via een kwetsbaarheid in het SMB-protocol, waardoor programmacode op afstand kan worden uitgevoerd. Het is gebaseerd op de EternalBlue-exploit, gecreëerd binnen de muren van de Amerikaanse National Security Agency (NSA) en openbaar gemaakt door hackers.

Het initiële bestand mssecsvc.exe start een ander bestand met de naam tasksche.exe. Vervolgens wordt het switchdomein gecontroleerd en wordt de mssecsvc2.0-service gemaakt. Deze service voert het bestand mssecsvc.exe uit met een ander toegangspunt dan toen het voor het eerst werd gestart. De tweede run verkrijgt het IP-adres van de geïnfecteerde machine en probeert verbinding te maken met TCP-poort 445 van elk IP-adres binnen het subnet. Wanneer de malware succesvol verbinding maakt met de externe machine, wordt er een verbinding tot stand gebracht en worden gegevens overgedragen. Blijkbaar wordt ergens in dit overdrachtsproces misbruik gemaakt van een bekende kwetsbaarheid, die is verholpen door de MS 17-010-update. Op dit moment bestaat er geen volledig inzicht in het MKB-verkeer en onder welke omstandigheden malware zich via een beveiligingslek kan verspreiden.

Het bestand tasksche.exe controleert alle schijven, evenals mappen die via het netwerk worden gedeeld en aangesloten apparaten die zijn gekoppeld aan letters als 'C:/', 'D:/', enz. De malware zoekt vervolgens naar bestanden met extensies die in het programma worden vermeld (en hieronder worden weergegeven) en codeert deze met behulp van 2048-bit RSA-codering. Terwijl de bestanden worden gecodeerd, wordt er een map ‘Tor/’ aangemaakt, waar het bestand tor.exe en de 9 dll-bestanden die het gebruikt worden geplaatst. Bovendien worden taskdl.exe en taske.exe gemaakt. De eerste verwijdert tijdelijke bestanden en de tweede voert @ uit [e-mailadres beveiligd], waarin de gebruiker een venster wordt weergegeven waarin hem wordt gevraagd te betalen. Bestand @ [e-mailadres beveiligd] is uitsluitend verantwoordelijk voor het weergeven van het bericht. Bestandsversleuteling vindt op de achtergrond plaats met behulp van tasksche.exe.

Het tor.exe-bestand wordt gestart met @ [e-mailadres beveiligd]. Dit nieuwe proces begint verbinding te maken met Tor-knooppunten. Op deze manier handhaaft WannaCry de anonimiteit door al zijn verkeer via het Tor-netwerk te sturen.

Zoals gebruikelijk bij ransomware verwijdert het programma ook alle schaduwkopieën op de computer van het slachtoffer om het herstel nog moeilijker te maken. Dit wordt gedaan met behulp van WMIC.exe, vssadmin.exe en cmd.exe

WannaCry gebruikt verschillende methoden om de uitvoering ervan te vergemakkelijken. Dit is hoe het wordt gebruikt door attrib.exe om de +h-vlag te veranderen (verbergen), evenals door icacls.exe om volledige rechten aan alle gebruikers te geven: “icacls. /grant Iedereen:F /T /C /Q.”

Het is opmerkelijk dat het programma een modulaire architectuur heeft. Het is waarschijnlijk dat alle uitvoerbare bestanden erin door verschillende mensen zijn geschreven. Dit zou mogelijk kunnen betekenen dat de structuur van het programma het mogelijk maakt dat verschillende kwaadaardige scripts worden gestart.

Nadat de codering is voltooid, geeft de malware een venster weer waarin losgeld voor de bestanden wordt gevraagd. Het interessante punt is dat het venster een uitvoerbaar bestand is en geen afbeelding, HTA-bestand of tekstbestand.

Slachtoffers moeten begrijpen dat niemand garandeert dat het apparaat na het betalen van het losgeld niet langer verlamd zal zijn.

Wat u nu moet doen om infectie te voorkomen.

1. Microsoft heeft op 14 maart 2017 een oplossing voor het EternalBlue-probleem geïntroduceerd in MS17-010, dus eerst en vooral meten Ter bescherming tegen WannaCry moet u deze beveiligingsupdate voor Windows installeren.

Directe link om te updaten: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Het feit dat veel gebruikers en systeembeheerders dit nog niet hebben gedaan, was de reden voor een dergelijke grootschalige aanval, waarvan de schade nog moet worden ingeschat. Het is waar dat de update is ontworpen voor die versies van Windows waarvoor de ondersteuning nog niet is gestopt. Vanwege het hoge dreigingsniveau heeft Microsoft ook updates uitgebracht voor oudere besturingssystemen zoals Windows XP, Windows 8 en Windows Server 2003. Download deze.

2. Om de dreiging tot een minimum te beperken, moet u dringend alle nieuwste Windows OS-updates installeren: Start - Alle programma's - Windows Update - Zoeken naar updates - Downloaden en installeren.

3. Elke organisatie met openbaar toegankelijke SMB (poorten 139, 445) moet inkomend verkeer onmiddellijk blokkeren.

4. We mogen de regelmatige back-ups van belangrijke gegevens niet vergeten. Houd er rekening mee dat WannaCry zich op de volgende bestandscategorieën richt:

• de meest voorkomende kantoordocumenten (.ppt, .doc, .docx, .xlsx, .sxi).
• enkele minder populaire documenttypen (.sxw, .odt, .hwp).
• archieven en mediabestanden (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• e-mailbestanden (.eml, .msg, .ost, .pst, .edb).
• databases (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• projectbestanden en broncodes (.php, .java, .cpp, .pas, .asm).
• encryptiesleutels en certificaten (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• grafische formaten (.vsd, .odg, .raw, .nef, .svg, .psd).
• virtuele machinebestanden (.vmx, .vmdk, .vdi).

5. Schadelijke software kan via e-mail binnenkomen. Het slachtoffer krijgt de infectie door op de kwaadaardige bijlage te klikken. Meestal hebben we het over bestanden met js- en exe-extensies, maar ook over documenten met kwaadaardige macro's (bijvoorbeeld Microsoft Word-bestanden). Daarom raden wij u aan waakzaam te zijn met betrekking tot mailings die via e-mail en andere kanalen binnenkomen.

6. Zorg ervoor dat u een bijgewerkt antivirusprogramma in de bewakingsmodus gebruikt en controleer, indien mogelijk, het systeem op bedreigingen. De enige antivirus die het virus vindt: ESET NOD32. Als MEM:Trojan.Win64.EquationDrug.gen-activiteit wordt gedetecteerd en geëlimineerd, start u het systeem opnieuw op en zorgt u ervoor dat MS17-010 is geïnstalleerd. Momenteel zijn er acht namen van het virus bekend:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generiek.

Zelfs als het systeem niet werd bijgewerkt en WannaCry op de computer terechtkwam, kunnen zowel bedrijfs- als thuisoplossingen ESET NOD32 met succes alle wijzigingen detecteren en blokkeren.

PS: Als de infectie niet kon worden vermeden, kun je de aanvallers nog steeds niet betalen. Ten eerste: zelfs als er geld wordt overgemaakt naar de opgegeven Bitcoin-portemonnee, garandeert niemand de decodering van bestanden. Ten tweede kun je er niet zeker van zijn dat een aanval op dezelfde computer niet zal worden herhaald en dat cybercriminelen geen groot losgeld zullen eisen. En tenslotte, ten derde, zal de betaling voor de deblokkerende ‘dienst’ degenen belonen die criminele activiteiten op internet uitvoeren en voor hen een stimulans zijn om nieuwe aanvallen uit te voeren.

Tegenwoordig zijn misschien alleen mensen die ver van het internet verwijderd zijn, zich niet bewust van de massale infecties van computers met de WannaCry (“I want to cry”)-encryptietrojan die op 12 mei 2017 begon. En ik zou de reactie van degenen die het weten in twee tegenovergestelde categorieën verdelen: onverschilligheid en paniek. Wat betekent dit?

En het feit dat fragmentarische informatie geen volledig inzicht in de situatie biedt, geeft aanleiding tot speculatie en laat meer vragen dan antwoorden achter. Om te begrijpen wat er werkelijk gebeurt, met wie en wat het bedreigt, hoe u uzelf tegen infecties kunt beschermen en hoe u door WannaCry beschadigde bestanden kunt decoderen, is het artikel van vandaag hieraan gewijd.

Is ‘duivel’ echt zo eng?

Ik begrijp niet waar al die ophef over gaatWil je huilen? Er zijn veel virussen, er verschijnen voortdurend nieuwe. Wat is er speciaal aan deze?

WannaCry (andere namen WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) is geen gewone cybermalware. De reden voor zijn bekendheid zijn de gigantische hoeveelheden veroorzaakte schade. Volgens Europol verstoorde het de werking van meer dan 200.000 Windows-computers in 150 landen, en bedroeg de schade die de eigenaren leden meer dan $ 1.000.000.000. En dit is alleen in de eerste vier dagen van distributie. De meeste slachtoffers vallen in Rusland en Oekraïne.

Ik weet dat virussen pc's binnendringen via sites voor volwassenen. Ik bezoek dergelijke bronnen niet, dus ik loop geen gevaar.

Virus? Ik heb ook een probleem. Als er virussen op mijn computer verschijnen, voer ik het hulpprogramma *** uit en na een half uur is alles in orde. En als het niet helpt, installeer ik Windows opnieuw.

Virus is iets anders dan virus. WannaCry is een Trojan-ransomware, een netwerkworm die zich via lokale netwerken en internet van de ene computer naar de andere kan verspreiden zonder menselijke tussenkomst.

De meeste malware, inclusief ransomware, begint pas te werken nadat de gebruiker ‘het aas heeft ingeslikt’, dat wil zeggen: op een link klikt, een bestand opent, enzovoort. Om besmet te raken met WannaCry hoef je helemaal niets te doen!

Eenmaal op een Windows-computer versleutelt de malware in korte tijd het grootste deel van de gebruikersbestanden, waarna een bericht wordt weergegeven waarin een losgeld van $300-600 wordt geëist, dat binnen drie dagen naar de opgegeven portemonnee moet worden overgemaakt. Bij vertraging dreigt hij de ontsleuteling van de bestanden binnen zeven dagen onmogelijk te maken.

Tegelijkertijd zoekt de malware naar mazen in de wet om andere computers binnen te dringen, en als hij deze vindt, infecteert hij het hele lokale netwerk. Dit betekent dat back-ups van bestanden die op naburige machines zijn opgeslagen, ook onbruikbaar worden.

Als u een virus van een computer verwijdert, worden de bestanden niet gedecodeerd! Ook het besturingssysteem opnieuw installeren. Integendeel, als u geïnfecteerd bent met ransomware, kunnen beide acties u de mogelijkheid ontnemen om bestanden te herstellen, zelfs als u over een geldige sleutel beschikt.

Dus ja, “verdomd” is best eng.

Hoe WannaCry zich verspreidt

Je liegt. Een virus kan alleen op mijn computer terechtkomen als ik het zelf download. En ik ben waakzaam.

Veel malware kan computers (en trouwens ook mobiele apparaten) infecteren via kwetsbaarheden: fouten in de code van componenten en programma's van het besturingssysteem die cyberaanvallers de mogelijkheid bieden om een ​​externe machine voor hun eigen doeleinden te gebruiken. Met name WannaCry verspreidt zich via een 0-day-kwetsbaarheid in het SMB-protocol (zero-day-kwetsbaarheden zijn fouten die niet waren verholpen op het moment dat ze werden uitgebuit door malware/spyware).

Dat wil zeggen: om een ​​computer te infecteren met een ransomware-worm zijn twee voorwaarden voldoende:

• Verbindingen met een netwerk waar zich andere geïnfecteerde machines bevinden (internet).
• De aanwezigheid van de hierboven beschreven maas in het systeem.

Waar komt deze infectie eigenlijk vandaan? Is dit het werk van Russische hackers?

Volgens sommige rapporten (ik ben niet verantwoordelijk voor de authenticiteit) was de Amerikaanse National Security Agency de eerste die een fout ontdekte in het SMB-netwerkprotocol, dat wordt gebruikt voor legale toegang op afstand tot bestanden en printers in Windows. In plaats van het aan Microsoft te melden zodat zij de fout konden herstellen, besloot de NSA er zelf gebruik van te maken en hiervoor een exploit te ontwikkelen (een programma dat misbruik maakt van de kwetsbaarheid).

Visualisatie van de dynamiek van WannaCry-distributie op de website intel.malwaretech.com

Deze exploit (codenaam EternalBlue), waarmee de NSA enige tijd computers kon binnendringen zonder medeweten van de eigenaren, werd vervolgens door hackers gestolen en vormde de basis voor het ontstaan ​​van de WannaCry-ransomware. Dat wil zeggen, dankzij de niet geheel legale en ethische acties van de Amerikaanse overheidsinstantie leerden virusschrijvers over de kwetsbaarheid.

Ik heb de installatie van updates uitgeschakeldRamen. Waarom is het nodig als alles zonder hen werkt.

De reden voor zo’n snelle en wijdverspreide verspreiding van de epidemie was het ontbreken van een ‘patch’ op dat moment: een Windows-update die de Wanna Cry-maas in de wet zou kunnen dichten. Het kostte tenslotte tijd om het te ontwikkelen.

Tegenwoordig bestaat zo'n patch. Gebruikers die het systeem updaten, ontvingen het automatisch binnen de eerste uren na de release. En degenen die geloven dat updates niet nodig zijn, lopen nog steeds het risico besmet te raken.

Wie loopt er risico door de WannaCry-aanval en hoe kunt u zich hiertegen beschermen?

Voor zover ik weet is meer dan 90% van de computers geïnfecteerdWannaCry, beheerd doorWindows 7. Ik heb “tien”, wat betekent dat ik niet in gevaar ben.

Alle besturingssystemen die het SMB v1-netwerkprotocol gebruiken, zijn vatbaar voor WannaCry-infectie. Dit:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v1607
• WindowsServer 2003
• WindowsServer 2008
• WindowsServer 2012
• WindowsServer 2016

Tegenwoordig lopen gebruikers van systemen waarop het niet is geïnstalleerd (gratis te downloaden van de website technet.microsoft.com, waarnaar de link wordt aangeboden) het risico malware via het netwerk te vangen. Patches voor Windows XP, Windows Server 2003, Windows 8 en andere niet-ondersteunde besturingssystemen kunnen worden gedownload. Het beschrijft ook manieren om te controleren op de aanwezigheid van een levensreddende update.

Als u de versie van het besturingssysteem op uw computer niet kent, drukt u op de Win+R-toetsencombinatie en voert u de opdracht winver uit.

Om de veiligheid te verbeteren, en als het niet mogelijk is om het systeem nu bij te werken, biedt Microsoft instructies voor het tijdelijk uitschakelen van het SMB-protocol versie 1. Deze bevinden zich op en. Bovendien, maar niet noodzakelijkerwijs, kunt u TCP-poort 445, die SMB bedient, via de firewall sluiten.

Ik heb de beste antivirus ter wereld ***, daarmee kan ik alles doen en ben ik nergens bang voor.

De verspreiding van WannaCry kan niet alleen plaatsvinden via de hierboven beschreven zelfrijdende methode, maar ook op de gebruikelijke manieren: via sociale netwerken, e-mail, geïnfecteerde en phishing-webbronnen, enz. En er zijn dergelijke gevallen. Als u een kwaadaardig programma handmatig downloadt en uitvoert, kunnen noch een antivirusprogramma, noch patches die kwetsbaarheden dichten, u tegen infecties behoeden.

Hoe het virus werkt, wat het codeert

Ja, laat hem coderen wat hij wil. Ik heb een vriend die programmeur is, hij zal alles voor mij ontcijferen. Als laatste redmiddel vinden we de sleutel met brute kracht.

Nou, het codeert een paar bestanden, dus wat? Dit belet mij niet om op de computer te werken.

Helaas zal het niet worden gedecodeerd, omdat er geen manieren zijn om het RSA-2048-coderingsalgoritme dat Wanna Cry gebruikt te kraken en dat in de nabije toekomst niet zal verschijnen. En het codeert niet slechts een paar bestanden, maar bijna alles.

Ik zal geen gedetailleerde beschrijving geven van de werking van de malware; iedereen die geïnteresseerd is, kan bijvoorbeeld de analyse ervan lezen. Ik zal alleen de belangrijkste momenten noteren.

Bestanden met de volgende extensies zijn gecodeerd: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Zoals u kunt zien, zijn er documenten, foto's, video-audio, archieven, e-mail en bestanden die in verschillende programma's zijn gemaakt... De malware probeert elke map in het systeem te bereiken.

Gecodeerde objecten krijgen een dubbele extensie met naschrift WNCRY, bijvoorbeeld 'Document1.doc.WNCRY'.

Na codering kopieert het virus een uitvoerbaar bestand naar elke map @[e-mailadres beveiligd] – zogenaamd voor decodering na losgeld, evenals een tekstdocument @[e-mailadres beveiligd] met een bericht voor de gebruiker.

Vervolgens probeert het schaduwkopieën en Windows-herstelpunten te vernietigen. Als het systeem UAC gebruikt, moet de gebruiker deze bewerking bevestigen. Als u het verzoek afwijst, bestaat er nog steeds een kans om gegevens uit kopieën te herstellen.

WannaCry verzendt de coderingssleutels van het getroffen systeem naar commandocentra op het Tor-netwerk, waarna het deze van de computer verwijdert. Om naar andere kwetsbare machines te zoeken, scant het het lokale netwerk en willekeurige IP-bereiken op internet, en eenmaal gevonden, doordringt het alles wat het kan bereiken.

Tegenwoordig zijn analisten op de hoogte van verschillende aanpassingen van WannaCry met verschillende distributiemechanismen, en we mogen verwachten dat er in de nabije toekomst nieuwe zullen verschijnen.

Wat te doen als WannaCry uw computer al heeft geïnfecteerd

Ik zie dat bestanden van extensie veranderen. Wat gebeurt er? Hoe dit te stoppen?

Versleuteling is geen eenmalig proces, ook al duurt het niet te lang. Als u het heeft opgemerkt voordat het ransomwarebericht op uw scherm verschijnt, kunt u een aantal bestanden opslaan door de computer onmiddellijk uit te schakelen. Niet door het systeem uit te schakelen, maar door de stekker uit het stopcontact te halen!

Bij het laden van Windows in normale modus encryptie zal doorgaan, dus het is belangrijk om dit te voorkomen. De volgende start van de computer moet plaatsvinden in de veilige modus, waarin virussen niet actief zijn, of vanaf een ander opstartmedium.

Mijn bestanden zijn gecodeerd! Het virus eist losgeld voor hen! Wat te doen, hoe te decoderen?

Het decoderen van bestanden na WannaCry is alleen mogelijk als je over een geheime sleutel beschikt, die de aanvallers beloven te verstrekken zodra het slachtoffer het losgeldbedrag aan hen overmaakt. Dergelijke beloftes worden echter bijna nooit waargemaakt: waarom zouden malwaredistributeurs zich druk maken als ze al hebben wat ze wilden?

In sommige gevallen kan het probleem zonder losgeld worden opgelost. Tot op heden zijn er twee WannaCry-decryptors ontwikkeld: en . De eerste werkt alleen in Windows XP, en de tweede, gemaakt op basis van de eerste, werkt in Windows XP, Vista en 7 x86, evenals in de noordelijke systemen 2003, 2008 en 2008R2 x86.

Het werkingsalgoritme van beide decryptors is gebaseerd op het zoeken naar geheime sleutels in het geheugen van het encryptorproces. Dit betekent dat alleen degenen die geen tijd hebben gehad om de computer opnieuw op te starten, kans maken op decodering. En als er niet te veel tijd is verstreken sinds de codering (het geheugen is niet overschreven door een ander proces).

Dus als u een Windows XP-7 x86-gebruiker bent, is het eerste dat u moet doen nadat het losgeldbericht verschijnt, uw computer loskoppelen van het lokale netwerk en internet en de WanaKiwi-decryptor uitvoeren die u op een ander apparaat hebt gedownload. Voer geen andere handelingen uit op de computer voordat u de sleutel verwijdert!

Je kunt de beschrijving van het werk van de WanaKiwi-decryptor in een andere lezen.

Nadat u de bestanden heeft gedecodeerd, voert u een antivirusprogramma uit om de malware te verwijderen en installeert u een patch die de distributiepaden sluit.

Tegenwoordig wordt WannaCry door bijna alle antivirusprogramma's herkend, met uitzondering van de programma's die niet zijn bijgewerkt, dus bijna alle antivirusprogramma's zullen het doen.

Hoe dit leven verder te leven

Deze zichzelf voortdrijvende epidemie verraste de wereld. Voor allerlei veiligheidsdiensten bleek het net zo onverwacht als het begin van de winter op 1 december voor nutswerkers. De reden is onzorgvuldigheid en willekeur. De gevolgen zijn onherstelbaar verlies van gegevens en schade. En voor de makers van de malware is dit een stimulans om in dezelfde geest door te gaan.

Volgens analisten heeft WanaCry de distributeurs zeer goede dividenden opgeleverd, wat betekent dat dit soort aanvallen zullen worden herhaald. En degenen die nu worden meegesleept, zullen niet noodzakelijkerwijs later worden meegesleept. Natuurlijk, als je je er van tevoren geen zorgen over maakt.

Zodat u nooit meer hoeft te huilen om gecodeerde bestanden:

• Weiger niet om besturingssysteem- en applicatie-updates te installeren. Dit beschermt u tegen 99% van de bedreigingen die zich verspreiden via niet-gepatchte kwetsbaarheden.
• Houd het aan.
• Maak back-ups van belangrijke bestanden en bewaar ze op een ander fysiek medium, of beter nog, op meerdere. In bedrijfsnetwerken is het optimaal om gedistribueerde databases voor gegevensopslag te gebruiken; thuisgebruikers kunnen gratis cloudservices gebruiken zoals Yandex Disk, Google Drive, OneDrive, MEGASynk, enz. Laat deze applicaties niet draaien als u ze niet gebruikt.
• Kies betrouwbare besturingssystemen. Windows XP is niet zo.
• Installeer een uitgebreide antivirus van Internet Security-klasse en extra bescherming tegen bijvoorbeeld ransomware. Of analogen van andere ontwikkelaars.
• Vergroot uw kennisniveau bij het tegengaan van ransomware-trojans. Zo heeft de antivirusleverancier Dr.Web opgesteld voor gebruikers en beheerders van verschillende systemen. Er staat veel nuttige en, belangrijker nog, betrouwbare informatie in de blogs van andere A/V-ontwikkelaars.

En het allerbelangrijkste: zelfs als u schade heeft geleden, mag u geen geld overmaken naar de aanvallers voor decodering. De kans dat u wordt misleid is 99%. Bovendien zal de afpersingspraktijk zinloos worden als niemand betaalt. Anders zal de verspreiding van een dergelijke infectie alleen maar toenemen.

Ook op de site:

WannaCry-epidemie: antwoorden op veelgestelde vragen en misvattingen van gebruikers ontkrachten bijgewerkt: 27 mei 2017 door: Johnny-ezelsbruggetje

Deze cyberaanval wordt nu al de grootste uit de geschiedenis genoemd. Meer dan 70 landen, tienduizenden geïnfecteerde computers. Het ransomware-virus genaamd Wanna Cry (“Ik wil huilen”) spaart niemand. Ziekenhuizen, spoorwegen en overheidsinstanties worden aangevallen.

In Rusland was de aanval het grootst. De berichten die nu binnenkomen lijken op berichten van het computerfront. Van de laatste: De Russische Spoorwegen verklaarden dat het virus probeerde hun IT-systeem binnen te dringen, het is al gelokaliseerd en ze proberen het te vernietigen. Ook de Centrale Bank, het ministerie van Binnenlandse Zaken, het ministerie van Noodsituaties en communicatiebedrijven spraken over hackpogingen.

Zo ziet het virus eruit, dat tienduizenden computers over de hele wereld verlamt. Een duidelijke interface en tekst vertaald in tientallen talen - “je hebt maar drie dagen om te betalen.” Een kwaadaardig programma dat bestanden versleutelt, heeft volgens verschillende bronnen 300 tot 600 dollar nodig om ze te ontgrendelen. Alleen in cybervaluta. Chantage staat letterlijk op de rand van leven en dood.

“Ik was helemaal klaar voor de operatie, ze hadden er zelfs een infuus in gezet, en dan komt de chirurg en zegt dat ze door een cyberaanval problemen hebben met de apparatuur”, zegt Patrick Ward.

Een vaccin tegen het computervirus werd noch in de veertig Britse klinieken die als eerste werden aangevallen, noch in het grootste Spaanse telecommunicatiebedrijf Telefónica gevonden. Sporen, zoals experts zeggen, van een van de grootste hackeraanvallen in de wereldgeschiedenis, zelfs op treinstations in Duitsland. In een van de zeven controlecentra van de Duitse spoorvervoerder Deutsche Bahn heeft het controlesysteem gefaald. De gevolgen kunnen catastrofaal zijn.

In totaal zijn al 74 landen het slachtoffer geworden van cyberaanvallen. De enige landen die onaangetast blijven zijn Afrika en verschillende staten in Azië en Latijns-Amerika. Is het echt alleen voor nu?

“Dit wordt allemaal gedaan om geld te verdienen voor de georganiseerde misdaad. Er is geen politieke agenda of bijbedoeling. Pure chantage”, zegt antivirusexpert Ben Rapp van IT-bedrijven.

De Britse media vonden echter meteen een politiek motief. En ze gaven Russische hackers de schuld van alles, zij het zonder enig bewijs, waarbij ze de cyberaanval in verband brachten met een Amerikaanse luchtaanval in Syrië. Naar verluidt werd het ransomware-virus de wraak van Moskou. Tegelijkertijd heeft Rusland volgens dezelfde Britse media het meest geleden onder deze aanval. En het is absoluut moeilijk om dit tegen te spreken. Alleen al op het ministerie van Binnenlandse Zaken werden ruim duizend computers aangevallen. Het mocht echter niet baten.

We hebben aanvallen op het Ministerie van Noodsituaties en het Ministerie van Volksgezondheid, op Sberbank en Megafon afgeslagen.” De mobiele operator heeft het callcenter zelfs enige tijd opgeschort.

“Het presidentiële decreet over de oprichting van het Russische deel van het netwerk is een gesloten internet rond overheidsfunctionarissen. De defensie-industrie staat al lange tijd achter dit schild. Hoogstwaarschijnlijk zijn, denk ik, eenvoudige computers van gewone werknemers getroffen. Het is onwaarschijnlijk dat de toegang tot databases werd getroffen; deze bevinden zich in de regel op andere besturingssystemen en bevinden zich in de regel bij providers”, aldus adviseur van de Russische president voor internetontwikkeling, German Klimenko.

Het programma infecteert volgens antivirusontwikkelaars de computer als de gebruiker een verdachte brief heeft geopend en Windows nog niet heeft bijgewerkt. Dit is duidelijk te zien in het voorbeeld van het ernstig getroffen China: de inwoners van het Middenrijk hebben, zoals u weet, een bijzondere liefde voor illegale besturingssystemen. Maar is het de moeite waard om te betalen, gedachteloos met de muis te klikken, vragen ze zich over de hele wereld af

“Als een bedrijf geen back-up heeft, verliest het mogelijk de toegang tot gegevens. Dat wil zeggen dat als bijvoorbeeld een database van ziekenhuispatiënten samen met de medische geschiedenis in één kopie wordt opgeslagen op deze server waar het virus is binnengekomen, het ziekenhuis deze gegevens op geen enkele manier meer zal herstellen”, zegt cybersecurity-expert Ilya Skachkov. .

Zoals bloggers hebben ontdekt, zit er tot nu toe niet meer dan vierduizend dollar in de elektronische portemonnee van de oplichters. Een kleinigheidje, gezien de lijst met slachtoffers: de kosten voor het hacken van hun harde schijven zijn duidelijk niet vergelijkbaar. De Britse editie van de Financial Times suggereerde dat het ransomware-virus niets meer is dan een kwaadaardig programma van de Amerikaanse National Security Agency, aangepast door aanvallers. Ooit werd het gecreëerd om gesloten Amerikaanse systemen binnen te dringen. Dit werd ook bevestigd door zijn voormalige werknemer Edward Snowden.

Van Snowden's Twitter: "Wauw, het besluit van de NSA om aanvalsinstrumenten tegen Amerikaanse software te ontwikkelen, brengt nu de levens van ziekenhuispatiënten in gevaar."

WikiLeaks heeft echter ook herhaaldelijk gewaarschuwd dat Amerikaanse inlichtingendiensten, vanwege een manisch verlangen om de hele wereld in de gaten te houden, malware verspreiden. Maar zelfs als dit niet het geval is, roept het vragen op over de manier waarop NSA-programma's in handen van aanvallers terechtkomen. Iets anders is interessant. Een andere Amerikaanse inlichtingendienst, het Department of Homeland Security, stelt voor de wereld van het virus te redden.

Hoe het ook zij, de ware omvang van deze aanval moet nog worden beoordeeld. De infectie van computers over de hele wereld gaat door. Er is hier maar één ‘vaccin’: voorzichtigheid en vooruitziendheid. Het is belangrijk om geen verdachte bijlagen te openen. Tegelijkertijd waarschuwen experts: er zal nog meer volgen. De frequentie en omvang van cyberaanvallen zullen alleen maar toenemen.