Összefoglaló
Az Kaspersky Lab’s elemzése egy WannaCry nevű zsaroló kártevőt azonosított. A Wannacry egy Windows rendszereket célzó káros kód, amely a felhasználó fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Leírás
Elemzésük szerint a WannaCry egy SMBv1 távoli kódfuttatást kezdeményez a Microsoft Windows rendszerben. A titkosítást követően a fájlok “.WCRY” kiterjesztést kapnak.
Egy EternalBlue nevű exploit vált elérhetővé a Shadowbrokers csoport által megszellőztetett kódok révén április 14-én, bár a Microsoft, az exploit által kihasznált sérülékenységeket már március 14-én javította. Ennek ellenére úgy tűnik, hogy számos vállalati környezetben nem frissítették a rendszert.
Ezt támasztja alá, hogy előbb a Spain’s Computer Emergency Response Team CCN-CERT tett közzé egy hírt spanyol szervezetek elleni kiterjedt ransomware támadásról, majd az Egyesült Királyságbeli National Health Service (NHS) adott ki egy figyelmeztetést, amelyben 16 egészségügyi intézményben bekövetkezett ransomware fertőzésről tettek jelentést.
További fertőzésről érkeztek hírek számos országból, mint pl. Ukrajna, Oroszország, India.
Az alábbi kiterjesztésű fájlokat titkosítja a WannaCry:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
A támadáshoz köthető C2 IP-k:
- 188[.]166[.]23[.]127
- 193[.]23[.]244[.]244
- 2[.]3[.]69[.]209
- 146[.]0[.]32[.]144
- 50[.]7[.]161[.]218
- 217.79.179[.]77
- 128.31.0[.]39
- 213.61.66[.]116
- 212.47.232[.]237
- 81.30.158[.]223
- 79.172.193[.]32
- 89.45.235[.]21
- 38.229.72[.]16
- 188.138.33[.]220
Megoldás
- Készítsen biztonsági mentést rendszeréről, amelyet offline tároljon!
- Telepítse a MS17-010 Microsoft biztonsági frissítést.
- A nem támogatott verziójú Microsoft Windows rendszerekhez (Windows XP-t, Windows Vista, Windows 8, Windows Server 2003) az alábbi hivatkozásról tölthetők le a javítások: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
- Az SMBv1 tiltása.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Manipulation of data
Ransomware
Trójai
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securelist.com
Egyéb referencia: www.us-cert.gov
Egyéb referencia: support.microsoft.com
Egyéb referencia: technet.microsoft.com
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: blog.talosintelligence.com