WannaCry je kmen ransomwaru, který se objevil ve volné přírodě 12. května 2017 a rychle se rozšířil a infikoval více než 200,000 150 systémů ve více než XNUMX zemích.
Červ WannaCry, známý také jako WannaCrypt, WanaCrypt0r, WCrypt a WCRY, využívá výhody konkrétního zneužití v protokolu Microsoft Server Message Block (SMB) s kódovým označením „EternalBlue“ a pomocí taktiky phishingových e-mailových podvodů infikuje starší, neopravené systémy Microsoft Windows .
Potenciální poškození WannaCry zmírněno opravou zabezpečení a přepínačem zabití
Společnost Microsoft opravila bezpečnostní chybu „EternalBlue“ SMB v informačním zpravodaji vydaném 14. března (MS17-010), ačkoli se v té době vztahovala pouze na Windows 10. WannaCry však byl vyvinut s cílem zaměřit se na neopravené Windows 7 a Windows Server 2008 a dřívější operační systémy.
Po objevení WannaCry ve volné přírodě rozšířila společnost Microsoft novou opravu SMB o další operační systémy Windows XP, Windows 7, Windows 8 a Windows Server 2003.
I když tyto bezpečnostní záplaty pomohly zmírnit potenciální šíření WannaCry, mnoho systémů Windows zůstává, pokud jde o nedávné bezpečnostní záplaty, zastaralé a v důsledku toho jsou i nadále zranitelné vůči ransomwaru, jako je WannaCry a další malware.
Potenciální poškození WannaCry bylo také zmírněno spouští „přepínače zabití“ nalezeného v kódu WannaCry. Kód WannaCry byl navržen tak, aby se pokusil připojit k určité doméně a infikovat systémy a šířit se dále, pokud se připojení k doméně ukáže neúspěšné. Od svého vzniku ve volné přírodě byl název domény ve WannaCry zaregistrován a nastaven, což vedlo k omezení dalšího šíření a poškození původního kmene WannaCry.
Jak WannaCry funguje a šíří se
WannaCry má dvě hlavní součásti: kapajícího trojského koně, který se snaží zneužít chybu zabezpečení SMB na starších, neopravených systémech Windows a samotný ransomware.
Systémy infikované WannaCry se používají k pokusu infikovat další neopravené systémy Windows v místní síti i přes internet.
Na infikovaných počítačích šifruje WannaCry všechny nalezené soubory a přejmenuje je pomocí přípony názvu souboru .WNCRY. WannaCry poté vytvoří výkupnou zprávu v každém adresáři a nahradí obrázek tapety na pozadí výkupnou požadující, aby uživatelé platili 300 USD v měně bitcoinů, aby byly všechny jejich soubory dešifrovány a obnoveny do normálu.
Ochrana proti WannaCry a dalším útokům ransomwaru / malwaru
V zájmu ochrany systémů před WannaCry a dalšími formami ransomwaru a malwaru společnost Microsoft doporučuje upgradovat na Windows 10, který není zranitelný vůči variantám WannaCry / WannaCrypt.
Uživatelé se také vyzývají, aby si nainstalovali aktualizaci zabezpečení SMB na starší systémy Windows a udržovali si aktuální informace o všech opravách a aktualizacích zabezpečení prostřednictvím služby Windows Update.
Uživatelé mohou navíc podle potřeby v tomto případě konkrétně zakázat SMB Článek znalostní báze Microsoft Knowledge Base nebo omezit přenos SMB přidáním pravidla na síťovém routeru nebo softwarové bráně firewall, které blokuje příchozí přenosy SMB na portu 445.