Slide background

 
A hétvégén globálisan futótűzként terjedő WannaCry első verzióját sikerült átmenetileg megfékezni, azonban a veszély továbbra sem csökkent. A hét első napján ahogy dolgozni mennek az emberek egyre több helyen fog kiderülni, hogy a WannaCry újabb verzióinak sikerül-e további rendszereket megfertőzni.

Egyes híresztelések szerint az eredeti verziót készítő hackerek máris továbbfejlesztették a zsarolóvírust, valamint az ún. copycat hackerek is bőszen készítik a saját, átdolgozott verziókat (2.0, 3.0).

Most fordul elő először, hogy egy szektorokon átívelő globális támadást láthatunk – amitől a szakemberek már régóta tartottak, de eddig még sosem találkoztak hasonló mértékű támadással.

Segítségünkkel megtudhatja, miként védekezhet a zsarolóvírusok ellen, valamint amennyiben régi verziójú Windows operációs rendszert használ, letöltheti a védekezéshez szükséges patch-et.

Mi a WannaCry? Hogyan védekezhet? Letölthető patch-ek

 

A WannaCry zsarolóvírusról

A WannaCry több módon is fertőzhet:

    • Rosszindulatú linkre való kattintás
    • Makró
    • Email

Gyakorlatilag felhasználói beavatkozást nem feltétlenül igényel, elég egy kis figyelmetlenség.

A WannaCry legfőbb éltetője egy SMB sérülékenység melynek kihasználásával terjed a hálózaton, így minél több gép áll egymással kapcsolatban, annál nagyobb a kár. A sérülékenység Microsoft általi javítása március óta elérhető, a patch azonosítója: MS17-010.

Technikai megközelítésben:

A WannaCry két részletben érkezik. Az első részben egy exploit (EternalBlue), mely első sorban a fertőzést és a további terjesztést végzi. A továbbiakban egy backdoort is elhelyez, amely az RDP protokollon keresztüli terjedést biztosítja.

A károkozás folyamata röviden:

  1. A jeladótól információszerzés a fertőzés folytatására vagy annak megállítására. (KillSwitch funkció-WannaCrypt 2.0-ra már nem érvényes)
  2. A kártékony kód (exe) elindítása új szervízfolyamatként. („Microsoft Security Center (2.0) Service”; “mssecsvc2.0″  as mssecsvc.exe)
  3. A tasksche.exe betöltése a ProgramData/Windows véletlenszerűen kiválasztott mappájába
  4. Teljes hozzáférés garantálása az összes fájlhoz a következő parancs lefuttatásával: Icacls . /grant Everyone:F /T /C /Q

Amennyiben a hálózaton keresztüli továbbfertőzés lehetséges, úgy a malware az „Eternal Blue”, illetve a „Double Pulsar” SMB sérülékenységeket használja.

A ransomware aktivitása:

  1. Zip kibontása és felkészülés a Tor illetve Bitcoin információk betöltésére.
  2. A titkosított zip egy belekódolt „WNcry@2ol7” jelszóval van titkosítva.
  3. A c.wnry tartalmazza a Tor konfigurációt amelyet a malware használ.
  4. Előre definiált Bitcoin pénztárcák betöltése, melyre a támadók a váltságdíjat várják.
  5. A kicsomagolt zip fájlt és tartalmát elrejti a ransomware.
  6. DLL és egyéb fájlok betöltése a titkosítási folyamat biztosításához

 

Titkosítás:

  1. Kulcsgenerálás
  2. Data buffer az összes fájlhoz
  3. Kiterjesztés megváltoztatása “.WNCRYT”-re
  4. Exe folyamat indítása
  5. A Decryter perzisztens elhelyezése.
  6. A titkosítás során különféle szolgáltatások kerülnek leállításra a teljes titkosítás érdekében pl. MS Exchange, sql server, sql writer, mysql.
  7. A titkosítással egy időben a már titkosított fájlok törlésre kerülnek.
  8. A folyamat befejezéseként a ransomware törli az árnyékmásolatokat.

 

Prognózis:

A WannaCrypt 1.0-s verziójában elkövetett programozási hibát vagy későbbi fejlesztésekhez szolgáló KillSwitch-et a 2.0-s verzióban javították, eltávolították, mely az eddiginél nagyobb pusztítást ígér a következő hetekben.

A WannaCrypt 3.0 valószínűleg már a UNIX-alapú rendszereket is erőteljesen fogja érinteni, hiszen az NSA által elvesztett EXPLOITOK jelentős része UNIX rendszerekre is készült.

A malware könnyen módosítható, így bármilyen lassítás után a hackerek könnyen módosíthatják a felépítését, ezáltal biztosítva a további károkozást.

Lista az érintett fájlkiterjesztésekről (bővülő lista):

.doc, .docx, .docb, .docm, .dot, .dotm, .dotx, .xls, .xlsx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm , .ppt, .pptx, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .pst, .ost, .msg, .eml, .edb, .VSD ,. vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .hwp, 0,602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2létrehozás, .tbk, bak, .tar, .tgz, .gz, .7z, .rar, .zip , .backup, .iso, .vcd, .jpeg, .jpg, .png, .gif, .RAW, .cgm, .tif, .tiff, .nef, .PSD, .ai, .svg ,. DjVu, .m4u, .m3u, .mid, .wma, FLV, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, VOB, .mpg, .wmv, Fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf ,. IBD, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, Accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .DIF, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt .key, .pfx, .der

Hogyan védekezhet hatékonyan?

A zsarolóvírusok elleni védekezés alapeszközei

Az elmúlt napokban sikerült átélni az elmúlt évek egyik legnagyobb, végfelhasználókat is érintő, online támadását, a WannaCry zsarolóvírus képében. A kártevő egy, már márciusban javított (MS17-010) biztonsági rést kihasználva fertőzi meg a hálózatot és titkosítja a felhasználók és cégek adatait, majd pedig váltságdíjat kér ezen adatok föloldásáért.

A jelenlegi kitörés legfőbb oka, hogy az interneten lévő számítógépek nagy hányadán már nem támogatott operációs rendszer (Windows XP) van, emellett pedig az automata frissítések nincsenek bekapcsolva, illetve telepítve.

Pedig ezen frissítések sok esetben életet menthetnek, mivel olyan sérülékenységeket javítanak, melyek kihasználására már megannyi eszköz áll készen a támadók számára és ezeket nem restek használni. A frissítés a számítógépes védelem első pillére, nélküle internetre kötött gépet használni olyan, mint mentőcsónak nélkül hajóútra indulni, avagy biztonsági öv nélkül autózni. Ugyan lehetséges, de nem ajánlott.

Ha mégis megtörténik a támadás és már késő, akkor jól jöhet a védekezés/kárenyhítés másik alapeszköze, a rendszeres biztonsági mentés. Eme mentésekből két típus létezik technikailag, online, mikor a mentésre szolgáló tárhely folyamatosan be van kapcsolva és offline, mikor csak a mentés idejére kapcsol be, illetve helyileg lehet helyszíni (Onsite), illetve helyszínen kívüli (Offsite).

Mivel a mai, szofisztikált támadások képesek hálózati megosztásokat és felhőbe feltöltött tartalmakat is támadni, ezért javasolt a nap végi, online mentés mellett hetente legalább egyszer offline mentést is végezni, mivel a tárhely lényegesen olcsóbb, mint a zsarolóknak kifizetett összeg, vagy egy több hónapos projekt elvesztése.

A rendszeres biztonsági mentés és a számítógép operációs rendszerének naprakészen tartása a támadások elleni védelem két alappillére. Ugyan nem helyettesítik a korszerű hálózati -és számítógépvédelmet, ellenben szinte ingyen és nagyon hatékonyan kiegészítik azt.

Az eldugott számítógépek mentőangyala, a WSUS Offline Update

A rendszeres, online biztonsági frissítések a legtöbb végfelhasználó számára biztonságot nyújtanak, ellenben céges, offline környezetben nem mindig telepíthetők, köszönhetően annak, hogy a frissítéseket kiküldés előtt tesztelni kell, illetve bizonyos számítógépek, szerverek nem érhetik el az internetet.

Ezen környezetek esetén vagy manuálisan, egyenként kell letölteni és telepíteni az összes frissítést (ez már pár gép esetén is kihívás), vagy pedig valamilyen segédeszközt kell használni erre a feladatra. Ezen segédeszközök között talán a legegyszerűbb az ingyenes WSUS Offline Update.

Az alkalmazás képes a Windows Update szerverekhez csatlakozni, majd onnan egyedi telepítőkészleteket létrehozni, melyeket aztán helyi hálózaton, vagy adathordozókon lehet terjeszteni a gépek között. Ezzel a metódussal a hálózatra/internetre nem csatlakozó számítógépek védettsége is fönntartható, anélkül, hogy elszigeteltségüket kompromittálnánk.

A WSUS használata nagyon egyszerű, minden egy grafikus felületen történik, ahol ki lehet választani az általunk használt termékeket (Windows és Office támogatás van az alkalmazásban). Illetve meg lehet határozni, hogy mely frissítéscsoportot töltse le és hova. Emellett lehetőség van kiválasztani a mentés helyét, illetve iso image-et készíteni, ha esetleg lemezen kell eljuttatni a frissítéseket a célgépre.

Ha egy egyszerű és megbízható eszközre van szükség a Windows offline frissítésére, akkor a WSUS Offline Updater igazi közönségkedvenc lehet. Kicsi, hordozható és ráadásul a felülete is igen egyszerű. Emellett pedig ingyenes és rengeteg időt képes megspórolni mind az otthoni felhasználóknak, mind pedig azon rendszergazdáknak, kiknek elzárt környezetet kell karbantartaniuk.

Linux és Unix rendszerek

A Linux rendszerek védelmében elsődleges eljárás a Wine eltávolítása, azon rendszerekről amelyek rendelkeznek vele, ennek oka, hogy a Wanna Crypt ransomware ezen keresztül is képes a titkosítási eljárást elvégezni. A védelem érdekében hardening folyamatokat is javasolunk a CIS ajánlása alapján. Bővebb információt kaphat ide kattintva!


Letölthető Windows patch-ek

Töltse le az alábbi Windows XP patch-et!

Security upgrade for windows XP SP3 (KB4012598):
https://www.microsoft.com/en-us/download/details.aspx?id=55245

Egyéb Windows patchek

Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Lokalizált biztonsági frissítések letöltése: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

Fertőzött lettem, mit tegyek? Védekezni akarok a zsarolóvírusok ellen!

 

A Biztonsági központunk által menedzselt ügyfelek a kiberincidensben nem érintettek. (soc.blackell.hu)
Amennyiben Ön vagy vállalkozása érintett a támadásban, válságkezelő csoportunk (BlackCERT) minden szükséges támogatást biztosít.


Iratkozzon fel hírlevelünkre a legfrissebb információkért!