WannaCrypt Ransomware, juga dikenal dengan nama WannaCry, WanaCrypt0r atau Wcrypt adalah ransomware yang menargetkan sistem operasi Windows. Ditemukan pada 12th Mei 2017, WannaCrypt digunakan dalam serangan Cyber besar dan sejak itu menginfeksi lebih dari 230.000 PC Windows di 150 negara. sekarang.
Apa itu ransomware WannaCrypt
Bagaimana cara WannaCrypt ransomware masuk ke komputer Anda
Terbukti dari serangannya di seluruh dunia, WannaCrypt pertama mendapatkan akses ke sistem komputer melalui Lampiran email dan sesudahnya dapat menyebar dengan cepat LAN. Ransomware dapat mengenkripsi sistem hard disk Anda dan mencoba untuk mengeksploitasi Kerentanan SMB menyebar ke komputer acak di Internet melalui port TCP dan antar komputer di jaringan yang sama.
Siapa yang menciptakan WannaCrypt
Tidak ada laporan yang dikonfirmasi tentang siapa yang telah menciptakan WannaCrypt meskipun WanaCrypt0r 2.0 terlihat menjadi 2nd upaya yang dilakukan oleh penulisnya. Pendahulunya, Ransomware WeCry, ditemukan kembali pada bulan Februari tahun ini dan menuntut 0,1 Bitcoin untuk membuka kunci.
Saat ini, para penyerang dilaporkan menggunakan Microsoft Windows mengeksploitasi Eternal Blue yang diduga dibuat oleh NSA. Alat-alat ini dilaporkan dicuri dan dibocorkan oleh kelompok yang disebut Broker Bayangan.
Bagaimana WannaCrypt menyebar
Ransomware ini menyebar dengan menggunakan kerentanan dalam implementasi Server Message Block (SMB) di sistem Windows. Eksploitasi ini diberi nama sebagai EternalBlue yang dilaporkan dicuri dan disalahgunakan oleh kelompok yang disebut Broker Bayangan.
Menariknya, EternalBlue adalah senjata peretasan yang dikembangkan oleh NSA untuk mendapatkan akses dan perintah komputer yang menjalankan Microsoft Windows. Itu secara khusus dirancang untuk unit intelijen militer Amerika untuk mendapatkan akses ke komputer yang digunakan oleh para teroris.
WannaCrypt menciptakan vektor entri di mesin yang masih belum dicolok bahkan setelah perbaikan itu tersedia. WannaCrypt menargetkan semua versi Windows yang tidak ditambal MS-17-010, yang dirilis Microsoft pada Maret 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.
Pola infeksi umum meliputi:
- Kedatangan melalui email rekayasa sosial yang dirancang untuk mengelabui pengguna agar menjalankan malware dan mengaktifkan fungsi penyebaran worm dengan memanfaatkan SMB. Laporan mengatakan bahwa malware sedang dikirim dalam file Microsoft Word yang terinfeksi yang dikirim dalam email, disamarkan sebagai tawaran pekerjaan, faktur, atau dokumen lain yang relevan.
- Infeksi melalui SMB mengeksploitasi ketika komputer yang tidak di-patch dapat diatasi di komputer lain yang terinfeksi
WannaCrypt adalah penangkap Trojan
Memperlihatkan properti dari Trojan penetes, WannaCrypt, mencoba menghubungkan domain hxxp: // www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com, menggunakan API InternetOpenUrlA ():
Namun, jika koneksi berhasil, ancaman tidak menginfeksi sistem lebih jauh dengan ransomware atau mencoba untuk mengeksploitasi sistem lain untuk menyebar; itu hanya berhenti eksekusi. Hanya ketika koneksi gagal, penetes melanjutkan untuk menjatuhkan ransomware dan membuat layanan pada sistem.
Oleh karena itu, memblokir domain dengan firewall baik di ISP atau tingkat jaringan perusahaan akan menyebabkan ransomware terus menyebar dan mengenkripsi file.
Ini persis bagaimana seorang peneliti keamanan benar-benar menghentikan wabah WannaCry Ransomware! Peneliti ini merasa bahwa tujuan dari pemeriksaan domain ini adalah untuk ransomware untuk memeriksa apakah itu sedang dijalankan di Sandbox. Namun, peneliti keamanan lain merasa bahwa pemeriksaan domain tidak proksi-sadar.
Ketika Dieksekusi, WannaCrypt membuat kunci registri berikut:
- HKLM SOFTWARE Microsoft Windows CurrentVersion Run
= “ tasksche.exe” - HKLM SOFTWARE WanaCrypt0r wd = “
”
Ini mengubah wallpaper ke pesan tebusan dengan memodifikasi kunci registri berikut:
HKCU Control Panel Desktop Wallpaper: “ @ WanaDecryptor @.bmp”
Uang tebusan yang diminta melawan kunci dekripsi dimulai dengan $ 300 Bitcoin yang meningkat setelah beberapa jam.
Ekstensi file terinfeksi oleh WannaCrypt
WannaCrypt mencari seluruh komputer untuk file apa saja dengan salah satu ekstensi nama file berikut:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,. std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,. otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,. pl,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
Ini kemudian mengganti nama mereka dengan menambahkan ".WNCRY" ke nama file
WannaCrypt memiliki kemampuan penyebaran yang cepat
Fungsionalitas worm di WannaCrypt memungkinkannya untuk menginfeksi komputer Windows yang tidak di-patch di jaringan lokal. Pada saat yang sama, ia juga melakukan pemindaian besar-besaran pada alamat IP Internet untuk menemukan dan menginfeksi PC rentan lainnya. Aktivitas ini menghasilkan data lalu lintas SMB besar yang berasal dari host yang terinfeksi, dan dapat dengan mudah dilacak oleh personel SecOps.
Setelah WannaCrypt berhasil menginfeksi mesin yang rentan, ia menggunakannya untuk melompat untuk menginfeksi PC lain. Siklus lebih lanjut berlanjut, karena routing scanning menemukan komputer yang tidak di-patch.
Bagaimana cara melindungi terhadap Wannacrypt
- Microsoft merekomendasikan meningkatkan ke Windows 10 karena dilengkapi dengan fitur-fitur terbaru dan mitigasi proaktif.
- Instal pembaruan keamanan MS17-010 dirilis oleh Microsoft. Perusahaan ini juga merilis patch keamanan untuk versi Windows yang tidak didukung seperti Windows XP, Windows Server 2003, dll.
- Pengguna Windows disarankan untuk sangat waspada terhadap email Phishing dan berhati-hatilah sementara membuka lampiran email atau mengklik tautan web.
- Membuat backup dan menjaganya dengan aman
- Windows Defender Antivirus mendeteksi ancaman ini sebagai Tebusan: Win32 / WannaCrypt jadi aktifkan dan perbarui dan jalankan Windows Defender Antivirus untuk mendeteksi ransomware ini.
- Manfaatkan beberapa Alat Anti-WannaCry Ransomware.
- EternalBlue Vulnerability Checker adalah alat gratis yang memeriksa apakah komputer Windows Anda rentan EternalBlue mengeksploitasi.
- Nonaktifkan SMB1 dengan langkah-langkah yang didokumentasikan di KB2696547.
- Pertimbangkan untuk menambahkan aturan di router atau firewall Anda memblokir lalu lintas SMB yang masuk di port 445
- Pengguna perusahaan dapat menggunakan Device Guard untuk mengunci perangkat dan menyediakan keamanan berbasiskan virtualisasi tingkat kernel, sehingga hanya aplikasi tepercaya yang dapat dijalankan.
Untuk mengetahui lebih lanjut tentang topik ini baca blog Technet.
WannaCrypt mungkin telah dihentikan untuk saat ini, tetapi Anda mungkin mengharapkan varian yang lebih baru untuk menyerang lebih ganas, jadi tetap aman dan aman.
Pelanggan Microsoft Azure mungkin ingin membaca saran Microsoft tentang cara mencegah Ancaman WannaCrypt Ransomware.
MEMPERBARUI: WannaCry Ransomware Decryptors tersedia. Di bawah kondisi yang menguntungkan, WannaKey dan WanaKiwi, dua alat dekripsi dapat membantu mendekripsi file terenkripsi WannaCrypt atau WannaCry Ransomware dengan mengambil kunci enkripsi yang digunakan oleh ransomware.