Abschnitte der Website
Die Wahl des Herausgebers:
- BIOS piept beim Einschalten des PCs
- Wie lösche ich eine Seite in einem Kontakt?
- Wie lösche ich eine gelöschte VKontakte-Seite?
- ENIAC – der allererste Computer der Welt
- VKontakte wurde am Arbeitsplatz blockiert. Wie kann ich das umgehen?
- So löschen Sie eine VKontakte-Seite von Ihrem Telefon
- Methoden zum Formatieren einer Festplatte mithilfe des BIOS
- Wie melde ich mich bei Odnoklassniki an, wenn die Website blockiert ist?
- Wie lösche ich eine Seite in Kontakt dauerhaft?
- So umgehen Sie die Blockierung von VK und Odnoklassniki in der Ukraine
Werbung
WannaCry/WannaCrypt: eine persönliche Angelegenheit |
(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) – Malware, Netzwerkwurm und Ransomware. Das Programm verschlüsselt fast alle auf dem Computer gespeicherten Dateien und verlangt ein Lösegeld, um sie zu entschlüsseln. In den letzten Jahren wurde eine große Anzahl solcher Schadprogramme registriert, doch WannaCry sticht aufgrund des Ausmaßes seiner Verbreitung und der verwendeten Techniken hervor. Dieser Verschlüsselungsvirus begann sich gegen 10 Uhr zu verbreiten und bereits am Abend des 12. Mai berichteten die Medien über zahlreiche Infektionen. In verschiedenen Veröffentlichungen heißt es, dass ein Hackerangriff auf die größten Beteiligungen, darunter die Sberbank, verübt wurde. Benutzerfrage. „Mein aktueller privater Laptop, auf dem Windows 7 Home Premium läuft, installiert verschiedene Patches automatisch, wenn ich ihn ausschalte … Und das W10-Tablet, das ich habe, installiert automatisch neue Patches, wenn es eingeschaltet wird ... Aktualisieren Unternehmens-Desktop-PCs ihr Betriebssystem nicht automatisch, wenn sie ein- oder ausgeschaltet werden?“ Wirklich - Warum? Nach einiger Zeit wurden alle Exploits zusammen mit Schulungsvideos öffentlich zugänglich gemacht. Jeder kann es nutzen. Genau das ist passiert. Das Exploit-Kit enthält das DoublePulsar-Tool. Wenn Port 445 geöffnet ist und das MS 17-010-Update nicht installiert ist, ist es mithilfe der Schwachstelle Remote Code Execution Class (die Möglichkeit, einen Computer aus der Ferne zu infizieren (NSA EternalBlue-Exploit)) möglich, Systemaufrufe abzufangen und Schadcode einzuschleusen Erinnerung. Es ist nicht erforderlich, E-Mails zu erhalten. Wenn Sie über einen Computer mit Internetzugang verfügen, auf dem der SMBv1-Dienst ausgeführt wird und auf dem der MS17-010-Patch nicht installiert ist, wird der Angreifer Sie selbst finden (z. B. durch Brute-Force-Adressen). WannaCry-AnalyseDer WannaCry-Trojaner (auch bekannt als WannaCrypt) verschlüsselt Dateien mit bestimmten Erweiterungen auf Ihrem Computer und verlangt ein Lösegeld in Höhe von 300 US-Dollar in Bitcoins. Zur Auszahlung werden drei Tage gegeben, danach verdoppelt sich der Betrag. Zur Verschlüsselung wird der amerikanische AES-Algorithmus mit einem 128-Bit-Schlüssel verwendet. Im Testmodus erfolgt die Verschlüsselung mit einem zweiten RSA-Schlüssel, der fest im Trojaner verankert ist. In diesem Zusammenhang ist eine Entschlüsselung von Testdateien möglich. Während des Verschlüsselungsprozesses werden mehrere Dateien zufällig ausgewählt. Der Trojaner bietet an, sie kostenlos zu entschlüsseln, damit das Opfer davon überzeugt werden kann, dass es den Rest nach Zahlung des Lösegelds entschlüsseln kann. Aber diese ausgewählten Dateien und der Rest werden mit unterschiedlichen Schlüsseln verschlüsselt. Daher gibt es keine Garantie für die Entschlüsselung! Anzeichen einer WannaCry-InfektionSobald der Trojaner auf dem Computer ist, wird er als Windows-Systemdienst mit dem Namen mssecsvc2.0 ausgeführt (sichtbarer Name: Microsoft Security Center (2.0) Service). Der Wurm ist in der Lage, Befehlszeilenargumente zu akzeptieren. Wenn mindestens ein Argument angegeben ist, wird versucht, den Dienst mssecsvc2.0 zu öffnen und ihn so zu konfigurieren, dass er im Fehlerfall neu gestartet wird. Nach dem Start versucht es, die Datei C:\WINDOWS\tasksche.exe in C:\WINDOWS\qeriuwjhrf umzubenennen, speichert sie aus den Encoder-Trojaner-Ressourcen in der Datei C:\WINDOWS\tasksche.exe und startet sie mit /i Parameter. Beim Start empfängt der Trojaner die IP-Adresse des infizierten Computers und versucht, eine Verbindung zum TCP-Port 445 jeder IP-Adresse innerhalb des Subnetzes herzustellen. Er sucht im internen Netzwerk nach Computern und versucht, diese zu infizieren. Der Wurm wird 24 Stunden nach dem Start als Systemdienst automatisch heruntergefahren. Um sich zu verbreiten, initialisiert die Malware Windows Sockets, CryptoAPI und startet mehrere Threads. Einer von ihnen listet alle Netzwerkschnittstellen auf dem infizierten PC auf und fragt verfügbare Hosts im lokalen Netzwerk ab, der Rest generiert zufällige IP-Adressen. Der Wurm versucht, über Port 445 eine Verbindung zu diesen Remote-Hosts herzustellen. Wenn dieser verfügbar ist, infiziert er Netzwerk-Hosts in einem separaten Thread und nutzt dabei eine Schwachstelle im SMB-Protokoll. Unmittelbar nach dem Start versucht der Wurm, eine Anfrage an einen Remote-Server zu senden, dessen Domäne im Trojaner gespeichert ist. Wenn eine Antwort auf diese Anfrage eingeht, wird sie beendet. < nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY < nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion < nulldot>0x1000f1b4, 12, 00000000.eky < nulldot>0x1000f270, 12, 00000000.pky < nulldot>0x1000f2a4, 12, 00000000.res Schutz vor WannaCrypt und anderer RansomwareUm sich vor der Ransomware WannaCry und ihren zukünftigen Modifikationen zu schützen, müssen Sie:
Abbildung 2. Beispiel für die Blockierung von Port 445 mithilfe einer FirewallWindows Abbildung 3. Beispiel für die Blockierung von Port 445 mithilfe einer FirewallWindows
Abbildung 4. Beispiel für die Beschränkung des Internetzugriffs auf eine Anwendung mithilfe der Windows-Firewall |
Lesen: |
---|
Beliebt:
Temporäre E-Mail für 10 Minuten? |
Neu
- Wie lösche ich eine Seite in einem Kontakt?
- Wie lösche ich eine gelöschte VKontakte-Seite?
- ENIAC – der allererste Computer der Welt
- VKontakte wurde am Arbeitsplatz blockiert. Wie kann ich das umgehen?
- So löschen Sie eine VKontakte-Seite von Ihrem Telefon
- Methoden zum Formatieren einer Festplatte mithilfe des BIOS
- Wie melde ich mich bei Odnoklassniki an, wenn die Website blockiert ist?
- Wie lösche ich eine Seite in Kontakt dauerhaft?
- So umgehen Sie die Blockierung von VK und Odnoklassniki in der Ukraine
- Formatierung über BIOS