Virus WannaCry je ransomware program koji koristi eksploataciju EternalBlue za zarazu računala s operativnim sustavom Microsoft Windows. Ransomware je također poznat kao WannaCrypt0r, WannaCryptor, WCry i Wana Decrypt0r. Nakon što pogodi ciljno računalo, brzo šifrira sve datoteke i označava ih jednom od sljedećih ekstenzija: .wplakati, .wncryt I .wncry.

Virus čini podatke beskorisnim koristeći snažnu enkripciju, mijenja pozadinu radne površine, stvara poruku o otkupnini "Molim vas, pročitajte me!.txt", a zatim pokreće prozor programa pod nazivom "WannaDecrypt0r" koji javlja da su datoteke na računalu šifrirane. Zlonamjerni softver poziva žrtvu da plati otkupninu od 300 do 600 dolara u bitcoinima i obećava da će izbrisati sve datoteke ako žrtva ne plati novac u roku od 7 dana.

Zlonamjerni softver briše kopije u sjeni kako bi spriječio oporavak šifriranih podataka. Osim toga, ransomware se ponaša kao crv jer nakon što sleti na ciljno računalo, počinje tražiti druga računala za zarazu.

Iako virus obećava vratiti vaše datoteke nakon plaćanja, nema razloga vjerovati kriminalcima. Tim stranice preporučuje uklanjanje ransomwarea u sigurnom načinu rada pomoću mrežnih upravljačkih programa, uz korištenje anti-malware programa kao što je .

Kibernetički kriminalci upotrijebili su ovaj ransomware u masivnom kibernetičkom napadu koji je pokrenut u petak, 12. svibnja 2017. Prema nedavnim izvješćima, zlonamjerni napad uspješno je zahvatio više od 230.000 računala u više od 150 zemalja.

Utjecaj kibernetičkog napada je strašan jer virus napada organizacije iz različitih sektora, a čini se da je zdravstvo najteže pogođeno. Zbog napada su obustavljene razne bolničke usluge, a otkazano je na stotine operacija. Prve velike tvrtke koje je pogodio otkup bile su Telefonica, Gas Natural i Iberdrola, prema izvješćima.

Neke od pogođenih tvrtki imale su sigurnosnu kopiju podataka, dok su se druge suočile s tragičnim posljedicama. Bez iznimke, svim žrtvama se savjetuje da uklone WannaCry što je prije moguće jer to može spriječiti daljnje širenje ransomwarea.

WannaCry se širi koristeći EternalBlue exploit

Glavni vektor infekcije ransomwarea WannaCry je EternalBlue exploit, koji je cyber spyware ukraden od američke Agencije za nacionalnu sigurnost (NSA) i objavljen na internetu od strane skupine hakera poznatih kao Shadow Brokers.

Napad EternalBlue cilja na Windows CVE-2017-0145 ranjivost u Microsoft SMB (Server Message Block) protokolu. Ranjivost je sada zakrpana, prema Microsoftovom sigurnosnom biltenu MS17-010 (objavljen 14. svibnja 2017.). Eksploatacijski kod koji su upotrijebili izvršitelji trebao je zaraziti naslijeđene sustave Windows 7 i Windows Server 2008, ali korisnici Windowsa 10 navodno možda neće biti pogođeni virusom.

Zlonamjerni softver obično dolazi u obliku trojanskog droppera koji sadrži skup eksploatacija i sam ransomware. Dropper se zatim pokušava spojiti na jedan od udaljenih poslužitelja kako bi preuzeo ransomware na računalo. Najnovije verzije WannaCryja distribuiraju se preko girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 u APAC regiji. Ransomware može utjecati na svakoga tko nema znanja o distribuciji ransomwarea, stoga preporučujemo da pročitate ovaj vodič za sprječavanje WannaCry ransomwarea koji su pripremili naši stručnjaci:

1. Instalirajte sigurnosno ažuriranje sustava MS17-010, koje je nedavno objavio Microsoft, a koje će popraviti ranjivost koju iskorištava ransomware. Ažuriranja su objavljena isključivo za starije operativne sustave kao što su Windows XP ili Windows 2003.
2. Ostanite s nama za ažuriranja drugih računalnih programa.
3. Instalirajte pouzdan antivirusni alat za zaštitu vašeg računala od ilegalnih pokušaja zaraze vašeg sustava zlonamjernim softverom.
4. Nikada ne otvarajte e-poštu koja dolazi od stranaca ili tvrtki s kojima ne poslujete.
5. Onemogućite SMBv1 koristeći Microsoftove upute.

Istraživač pokazuje snimke zaslona snimljene tijekom napada WannaCry. Možete vidjeti prozor Wanna Decrypt0r kao i sliku koju je WannaCry postavio kao pozadinu radne površine nakon što zarazite sustav i šifrirate sve datoteke na njemu.
Metoda 1. (Siguran način rada)
Odaberite "Siguran način rada s umrežavanjem" Metoda 1. (Siguran način rada)
Odaberite "Omogući siguran način rada s umrežavanjem"

Odaberite "Siguran način rada s naredbenim redkom" Metoda 2. (Vraćanje sustava)
Odaberite "Omogući siguran način rada s naredbenim redkom"
Metoda 2. (Vraćanje sustava)
Upišite "cd restore" bez navodnika i pritisnite "Enter"
Metoda 2. (Vraćanje sustava)
Upišite "rstrui.exe" bez navodnika i pritisnite "Enter"
Metoda 2. (Vraćanje sustava)
U prozoru "Vraćanje sustava" koji se pojavi odaberite "Dalje"
Metoda 2. (Vraćanje sustava)
Odaberite svoju točku vraćanja i kliknite "Dalje"
Metoda 2. (Vraćanje sustava)
Pritisnite "Da" i započnite oporavak sustava ⇦ ⇨

slajd 1 iz 10

WannaCry verzije

Virus koristi kriptografsku šifru AES-128 za sigurno zaključavanje datoteka, njihovim imenima dodaje ekstenziju datoteke .wcry i traži prijenos 0,1 Bitcoina u ponuđeni virtualni novčanik. Zlonamjerni softver je u početku distribuiran putem neželjene e-pošte; Međutim, ovaj konkretni virus nije generirao mnogo prihoda svojim programerima. Unatoč činjenici da se pokazalo da se datoteke šifrirane ovim ransomwareom ne mogu obnoviti bez ključa za dešifriranje, programeri su odlučili ažurirati zlonamjerni program.

WannaCrypt0r ransomware virus. Ovo je drugi naziv za ažuriranu verziju ransomwarea. Nova verzija cilja na ranjivosti sustava Windows kao glavni vektor napada i šifrira sve datoteke pohranjene na sustavu u nekoliko sekundi. Zaražene datoteke mogu se prepoznati preko ekstenzija koje se dodaju nazivu datoteke odmah nakon izvornog naziva datoteke - .wncry, wncryt ili .wcry.

Ne postoji način za oporavak oštećenih podataka bez sigurnosnih kopija ili privatnog ključa stvorenog tijekom procesa enkripcije podataka. Virus obično traži 300 dolara, iako povećava cijenu otkupnine na 600 dolara ako žrtva ne plati novac u roku od tri dana.

Ransomware virus WannaDecrypt0r. WannaDecrypt0r je program koji virus pokreće nakon što se uspješno infiltrirao u ciljni sustav. Istraživači su već primijetili da se verzije Wanna Decryptor 1.0 i Wanna Decryptor 2.0 približavaju žrtvama.

Zlonamjerni softver prikazuje sat za odbrojavanje koji pokazuje koliko je vremena preostalo za plaćanje otkupnine prije nego što njegova cijena dosegne svoj maksimum, kao i identičan sat za odbrojavanje koji pokazuje koliko je vremena preostalo dok virus ne izbriše sve podatke s računala. Ova verzija šokirala je virtualnu zajednicu 12. svibnja 2017., iako ju je nekoliko dana kasnije zaustavio sigurnosni istraživač koji se zove MalwareTech.