(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) – Malware, Netzwerkwurm und Ransomware. Das Programm verschlüsselt fast alle auf dem Computer gespeicherten Dateien und verlangt ein Lösegeld, um sie zu entschlüsseln. In den letzten Jahren wurde eine große Anzahl solcher Schadprogramme registriert, doch WannaCry sticht aufgrund des Ausmaßes seiner Verbreitung und der verwendeten Techniken hervor.

Dieser Verschlüsselungsvirus begann sich gegen 10 Uhr zu verbreiten und bereits am Abend des 12. Mai berichteten die Medien über zahlreiche Infektionen. In verschiedenen Veröffentlichungen heißt es, dass ein Hackerangriff auf die größten Beteiligungen, darunter die Sberbank, verübt wurde.

Benutzerfrage. „Mein aktueller privater Laptop, auf dem Windows 7 Home Premium läuft, installiert verschiedene Patches automatisch, wenn ich ihn ausschalte …

Und das W10-Tablet, das ich habe, installiert automatisch neue Patches, wenn es eingeschaltet wird ... Aktualisieren Unternehmens-Desktop-PCs ihr Betriebssystem nicht automatisch, wenn sie ein- oder ausgeschaltet werden?“ Wirklich - Warum?

Nach einiger Zeit wurden alle Exploits zusammen mit Schulungsvideos öffentlich zugänglich gemacht. Jeder kann es nutzen. Genau das ist passiert. Das Exploit-Kit enthält das DoublePulsar-Tool. Wenn Port 445 geöffnet ist und das MS 17-010-Update nicht installiert ist, ist es mithilfe der Schwachstelle Remote Code Execution Class (die Möglichkeit, einen Computer aus der Ferne zu infizieren (NSA EternalBlue-Exploit)) möglich, Systemaufrufe abzufangen und Schadcode einzuschleusen Erinnerung. Es ist nicht erforderlich, E-Mails zu erhalten. Wenn Sie über einen Computer mit Internetzugang verfügen, auf dem der SMBv1-Dienst ausgeführt wird und auf dem der MS17-010-Patch nicht installiert ist, wird der Angreifer Sie selbst finden (z. B. durch Brute-Force-Adressen).

WannaCry-Analyse

Der WannaCry-Trojaner (auch bekannt als WannaCrypt) verschlüsselt Dateien mit bestimmten Erweiterungen auf Ihrem Computer und verlangt ein Lösegeld in Höhe von 300 US-Dollar in Bitcoins. Zur Auszahlung werden drei Tage gegeben, danach verdoppelt sich der Betrag.

Zur Verschlüsselung wird der amerikanische AES-Algorithmus mit einem 128-Bit-Schlüssel verwendet.

Im Testmodus erfolgt die Verschlüsselung mit einem zweiten RSA-Schlüssel, der fest im Trojaner verankert ist. In diesem Zusammenhang ist eine Entschlüsselung von Testdateien möglich.

Während des Verschlüsselungsprozesses werden mehrere Dateien zufällig ausgewählt. Der Trojaner bietet an, sie kostenlos zu entschlüsseln, damit das Opfer davon überzeugt werden kann, dass es den Rest nach Zahlung des Lösegelds entschlüsseln kann.

Aber diese ausgewählten Dateien und der Rest werden mit unterschiedlichen Schlüsseln verschlüsselt. Daher gibt es keine Garantie für die Entschlüsselung!

Anzeichen einer WannaCry-Infektion

Sobald der Trojaner auf dem Computer ist, wird er als Windows-Systemdienst mit dem Namen mssecsvc2.0 ausgeführt (sichtbarer Name: Microsoft Security Center (2.0) Service).

Der Wurm ist in der Lage, Befehlszeilenargumente zu akzeptieren. Wenn mindestens ein Argument angegeben ist, wird versucht, den Dienst mssecsvc2.0 zu öffnen und ihn so zu konfigurieren, dass er im Fehlerfall neu gestartet wird.

Nach dem Start versucht es, die Datei C:\WINDOWS\tasksche.exe in C:\WINDOWS\qeriuwjhrf umzubenennen, speichert sie aus den Encoder-Trojaner-Ressourcen in der Datei C:\WINDOWS\tasksche.exe und startet sie mit /i Parameter. Beim Start empfängt der Trojaner die IP-Adresse des infizierten Computers und versucht, eine Verbindung zum TCP-Port 445 jeder IP-Adresse innerhalb des Subnetzes herzustellen. Er sucht im internen Netzwerk nach Computern und versucht, diese zu infizieren.

Der Wurm wird 24 Stunden nach dem Start als Systemdienst automatisch heruntergefahren.

Um sich zu verbreiten, initialisiert die Malware Windows Sockets, CryptoAPI und startet mehrere Threads. Einer von ihnen listet alle Netzwerkschnittstellen auf dem infizierten PC auf und fragt verfügbare Hosts im lokalen Netzwerk ab, der Rest generiert zufällige IP-Adressen. Der Wurm versucht, über Port 445 eine Verbindung zu diesen Remote-Hosts herzustellen. Wenn dieser verfügbar ist, infiziert er Netzwerk-Hosts in einem separaten Thread und nutzt dabei eine Schwachstelle im SMB-Protokoll.

Unmittelbar nach dem Start versucht der Wurm, eine Anfrage an einen Remote-Server zu senden, dessen Domäne im Trojaner gespeichert ist. Wenn eine Antwort auf diese Anfrage eingeht, wird sie beendet.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Schutz vor WannaCrypt und anderer Ransomware

Um sich vor der Ransomware WannaCry und ihren zukünftigen Modifikationen zu schützen, müssen Sie:

1. Deaktivieren Sie nicht verwendete Dienste, einschließlich SMB v1.

• Es ist möglich, SMBv1 mit PowerShell zu deaktivieren:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Über die Registry:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, SMB1-Parameter vom Typ DWORD = 0
• Sie können auch den Dienst selbst entfernen, der für SMBv1 verantwortlich ist (ja, ein separater Dienst von SMBv2 ist persönlich dafür verantwortlich):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=deaktiviert

1. Verwenden Sie eine Firewall, um nicht verwendete Netzwerkports zu schließen, einschließlich der Ports 135, 137, 138, 139, 445 (SMB-Ports).

Abbildung 2. Beispiel für die Blockierung von Port 445 mithilfe einer FirewallWindows

Abbildung 3. Beispiel für die Blockierung von Port 445 mithilfe einer FirewallWindows

1. Verwenden Sie ein Antivirenprogramm oder eine Firewall, um den Zugriff der Anwendung auf das Internet einzuschränken.

Abbildung 4. Beispiel für die Beschränkung des Internetzugriffs auf eine Anwendung mithilfe der Windows-Firewall