WannaCry zsarolóvírus

CH azonosító

CH-14033

Angol cím

WannaCry ransomware

Felfedezés dátuma

2017.05.11.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az Kaspersky Lab’s elemzése egy WannaCry nevű zsaroló kártevőt azonosított. A Wannacry egy Windows rendszereket célzó káros kód, amely a felhasználó fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás

Elemzésük szerint a WannaCry egy SMBv1 távoli kódfuttatást kezdeményez a Microsoft Windows rendszerben. A titkosítást követően a fájlok “.WCRY” kiterjesztést kapnak.

Egy EternalBlue nevű exploit vált elérhetővé a Shadowbrokers csoport által megszellőztetett kódok révén április 14-én, bár a Microsoft, az exploit által kihasznált sérülékenységeket már március 14-én javította. Ennek ellenére úgy tűnik, hogy számos vállalati környezetben nem frissítették a rendszert.

Ezt támasztja alá, hogy előbb a Spain’s Computer Emergency Response Team CCN-CERT tett közzé egy hírt spanyol szervezetek elleni kiterjedt ransomware támadásról, majd az Egyesült Királyságbeli National Health Service (NHS) adott ki egy figyelmeztetést, amelyben 16 egészségügyi intézményben bekövetkezett ransomware fertőzésről tettek jelentést.

További fertőzésről érkeztek hírek számos országból, mint pl. Ukrajna, Oroszország, India.

Az alábbi kiterjesztésű fájlokat titkosítja a WannaCry:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

A támadáshoz köthető C2 IP-k:

  • 188[.]166[.]23[.]127
  • 193[.]23[.]244[.]244
  • 2[.]3[.]69[.]209
  • 146[.]0[.]32[.]144
  • 50[.]7[.]161[.]218
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

Megoldás

Megelőző intézkedések:
  • Készítsen biztonsági mentést rendszeréről, amelyet offline tároljon!
  • Telepítse a MS17-010 Microsoft biztonsági frissítést.
  • A nem támogatott verziójú Microsoft Windows rendszerekhez (Windows XP-t, Windows Vista, Windows 8, Windows Server 2003) az alábbi hivatkozásról tölthetők le a javítások: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Az SMBv1 tiltása.