WannaCrypt Ransomware, WannaCry के नाम से भी जाना जाता है, WanaCrypt0r या Wcrypt एक ransomware है जो विंडोज ऑपरेटिंग सिस्टम को लक्षित करता है। 12 पर खोजा गयावें मई 2017, WannaCrypt का उपयोग बड़े साइबर हमले में किया गया था और तब से 150 देशों में 230,000 से अधिक विंडोज पीसी को संक्रमित किया गया है। अभी व।
WannaCrypt ransomware क्या है
WannaCrypt ransomware आपके कंप्यूटर में कैसे मिलता है
अपने विश्वव्यापी हमलों से स्पष्ट रूप से, WannaCrypt को पहले कंप्यूटर सिस्टम तक पहुंच प्राप्त होती है ईमेल अनुलग्नक और उसके बाद तेजी से फैल सकता है लैन । Ransomware आपके सिस्टम हार्ड डिस्क एन्क्रिप्ट कर सकते हैं और इसका फायदा उठाने का प्रयास कर सकते हैं एसएमबी भेद्यता टीसीपी पोर्ट के माध्यम से और उसी नेटवर्क पर कंप्यूटर के बीच इंटरनेट पर यादृच्छिक कंप्यूटरों में फैलाने के लिए।
WannaCrypt किसने बनाया
WannaCrypt को किसने बनाया है इस पर कोई पुष्टि रिपोर्ट नहीं है हालांकि WanaCrypt0r 2.0 2 दिखता हैnd अपने लेखकों द्वारा किए गए प्रयास। इसके पूर्ववर्ती, रांसोमवेयर वीक्रिया को इस वर्ष फरवरी में वापस खोजा गया था और अनलॉक करने के लिए 0.1 बिटकोइन की मांग की गई थी।
वर्तमान में, हमलावर माइक्रोसॉफ्ट विंडोज शोषण का उपयोग कर रहे हैं अनंत ब्लू जिसे कथित रूप से एनएसए द्वारा बनाया गया था। इन उपकरणों को बुलाया गया समूह द्वारा चुराया गया और लीक किया गया है छाया ब्रोकर्स.
WannaCrypt कैसे फैलता है
यह Ransomware विंडोज सिस्टम में सर्वर संदेश ब्लॉक (एसएमबी) के कार्यान्वयन में एक भेद्यता का उपयोग करके फैलता है। इस शोषण के रूप में नामित किया गया है EternalBlue जिसे बुलाया गया समूह द्वारा चोरी और दुरुपयोग किया गया था छाया ब्रोकर्स.
दिलचस्प बात यह है EternalBlue एनएसए द्वारा विकसित एक हैकिंग हथियार है जो माइक्रोसॉफ्ट विंडोज चलाने वाले कंप्यूटरों तक पहुंच प्राप्त करने और कमांड करने के लिए विकसित किया गया है। यह विशेष रूप से अमेरिका की सैन्य खुफिया इकाई के लिए आतंकवादियों द्वारा उपयोग किए जाने वाले कंप्यूटर तक पहुंच प्राप्त करने के लिए डिज़ाइन किया गया था।
WannaCrypt फ़िक्स उपलब्ध होने के बाद भी मशीनों में एक एंट्री वेक्टर बनाता है जो अभी भी बिना छेड़छाड़ किए गए हैं। WannaCrypt उन सभी विंडोज संस्करणों को लक्षित करता है जिन्हें पैच नहीं किया गया था MS-17-010, जिसे माइक्रोसॉफ्ट ने मार्च 2017 में विंडोज विस्टा, विंडोज सर्वर 2008, विंडोज 7, विंडोज सर्वर 2008 आर 2, विंडोज 8.1, विंडोज आरटी 8.1, विंडोज सर्वर 2012, विंडोज सर्वर 2012 आर 2, विंडोज 10 और विंडोज सर्वर 2016 के लिए जारी किया था।
आम संक्रमण पैटर्न में शामिल हैं:
- सोशल इंजीनियरिंग ईमेल के माध्यम से आगमन उपयोगकर्ताओं को मैलवेयर चलाने और एसएमबी शोषण के साथ कीड़े फैलाने की कार्यक्षमता को सक्रिय करने के लिए डिज़ाइन करने के लिए डिज़ाइन किया गया है। रिपोर्टों का कहना है कि मैलवेयर एक में वितरित किया जा रहा है संक्रमित माइक्रोसॉफ्ट वर्ड फ़ाइल जिसे एक ईमेल में भेजा जाता है, जो नौकरी प्रस्ताव, चालान, या कोई अन्य प्रासंगिक दस्तावेज के रूप में छिपा हुआ है।
- एसएमबी शोषण के माध्यम से संक्रमण जब एक संक्रमित कंप्यूटर को अन्य संक्रमित मशीनों में संबोधित किया जा सकता है
WannaCrypt एक ट्रोजन ड्रॉपर है
एक ड्रॉपर ट्रोजन, WannaCrypt की प्रदर्शनी गुण, डोमेन से कनेक्ट करने का प्रयास करता है hxxp: [।] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea कॉम [।], API InternetOpenUrlA () का उपयोग कर:
हालांकि, यदि कनेक्शन सफल होता है, तो खतरे सिस्टम को संसाधित नहीं करता है या फैलाने के लिए अन्य सिस्टम का शोषण करने का प्रयास करता है; यह बस निष्पादन रोकता है। यह तब होता है जब कनेक्शन विफल हो जाता है, ड्रॉपर ransomware ड्रॉप करने के लिए आगे बढ़ता है और सिस्टम पर एक सेवा बनाता है।
इसलिए, आईएसपी या एंटरप्राइज़ नेटवर्क स्तर पर फ़ायरवॉल के साथ डोमेन को अवरुद्ध करने से ransomware फ़ाइलों को फैलाने और एन्क्रिप्ट करने का कारण बन जाएगा।
यह वास्तव में एक सुरक्षा शोधकर्ता ने वास्तव में WannaCry Ransomware प्रकोप को कैसे रोक दिया था! इस शोधकर्ता का मानना है कि इस डोमेन चेक का लक्ष्य ransomware के लिए यह जांचने के लिए था कि यह एक सैंडबॉक्स में चलाया जा रहा था या नहीं। हालांकि, एक और सुरक्षा शोधकर्ता ने महसूस किया कि डोमेन चेक प्रॉक्सी-जागरूक नहीं है।
निष्पादित होने पर, WannaCrypt निम्न रजिस्ट्री कुंजी बनाता है:
- HKLM SOFTWARE Microsoft Windows CurrentVersion भागो
= “ Tasksche.exe" - HKLM सॉफ़्टवेयर WanaCrypt0r wd = "
”
यह निम्नलिखित रजिस्ट्री कुंजी को संशोधित करके वॉलपेपर को एक खंडहर संदेश में बदल देता है:
एचकेसीयू नियंत्रण कक्ष डेस्कटॉप वॉलपेपर: " @ WanaDecryptor @.bmp"
डिक्रिप्शन कुंजी के खिलाफ शुरू होने वाली छुड़ौती के साथ शुरू होता है $ 300 बिटकोइन जो हर कुछ घंटों के बाद बढ़ता है।
WannaCrypt द्वारा संक्रमित फ़ाइल एक्सटेंशन
WannaCrypt किसी भी फ़ाइल के लिए निम्न फ़ाइल नाम एक्सटेंशन में से किसी भी फ़ाइल के लिए खोज करता है:.123,.jpeg,.rb,.602,.jpg,.rtf,.doc,.js,.sch,.3dm,.jsp,.sh,.3ds,.key,.sldm,.3g2,.lay,.sldm,.3gp,.lay6,.sldx,.7z,.ldf,.slk,.accdb,.m3u,.sln,.aes,.m4u,.snt,.ai,.max,.sql,.ARC,.mdb,.sqlite3,.asc,.mdf,.sqlitedb,.asf,.mid,.stc,.asm,.mkv,। std,.asp,.mml,.sti,.avi,.mov,.stw,.backup,.mp3,.suo,.bak,.mp4,.svg,.bat,.mpeg,.swf,.bmp,.mpg,.sxc,.brd,.msg,.sxd,.bz2,.myd,.sxi,.c,.myi,.sxm,.cgm,.nef,.sxw,.class,.odb,.tar,.cmd,.odg,.tbk,.cpp,.odp,.tgz,.crt,.ods,.tif,.cs,.odt,.tiff,.csr,.onetoc2,.txt,.csv,.ost,.uop,.db,। otg,.uot,.dbf,.otp,.vb,.dch,.ots,.vbs,.der ,.ott,.vcd,.dif,.p12,.vdi,.dip,.PAQ,.vmdk,.djvu,.pas,.vmx,.docb,.pdf,.vob,.docm,.pem,.vsd,.docx,.pfx,.vsdx,.dot,.php,.wav,.dotm,। पीएल,.wb2,.dotx,.png,.wk1,.dwg,.pot,.wks,.edb,.potm,.wma,.eml,.potx,.wmv,.fla,.ppam,.xlc,.flv,.pps,.xlm,.frm,.ppsm,.xls,.gif,.ppsx,.xlsb,.gpg,.ppt,.xlsm,.gz,.pptm,.xlsx,.h,.pptx,.xlt,.hwp,.ps1,.xltm,.ibd,.psd,.xltx,.iso,.pst,.xlw,.jar,.rar,.zip,.java,.raw
इसके बाद फ़ाइल नाम में ".WNCRY" जोड़कर उन्हें नामित किया जाता है
WannaCrypt तेजी से फैलाने की क्षमता है
WannaCrypt में कीड़े कार्यक्षमता स्थानीय नेटवर्क में अनपेक्षित विंडोज मशीनों को संक्रमित करने की अनुमति देती है। साथ ही, यह अन्य कमजोर पीसी को खोजने और संक्रमित करने के लिए इंटरनेट आईपी पते पर बड़े पैमाने पर स्कैनिंग भी निष्पादित करता है। इस गतिविधि के परिणामस्वरूप संक्रमित मेजबान से आने वाले बड़े एसएमबी यातायात डेटा में परिणाम होता है, और आसानी से SecOps कर्मियों द्वारा ट्रैक किया जा सकता है।
एक बार WannaCrypt सफलतापूर्वक एक कमजोर मशीन को संक्रमित करता है, यह अन्य पीसी को संक्रमित करने के लिए इसका उपयोग करता है। चक्र आगे बढ़ता है, क्योंकि स्कैनिंग रूटिंग अनचाहे कंप्यूटरों को खोजती है।
Wannacrypt के खिलाफ कैसे रक्षा करें
- माइक्रोसॉफ्ट सिफारिश करता है विंडोज 10 में उन्नयन क्योंकि यह नवीनतम सुविधाओं और सक्रिय कमजोरियों से लैस है।
- स्थापित करें सुरक्षा अद्यतन MS17-010 माइक्रोसॉफ्ट द्वारा जारी कंपनी ने विंडोज़ XP, विंडोज सर्वर 2003, आदि जैसे असमर्थित विंडोज संस्करणों के लिए सुरक्षा पैच भी जारी किए हैं।
- विंडोज उपयोगकर्ताओं को सलाह दी जाती है कि वे फिशिंग ईमेल से बेहद सावधान रहें और बहुत सावधान रहें ईमेल अनुलग्नक खोलना या वेब लिंक पर क्लिक करें।
- बनाना बैकअप और उन्हें सुरक्षित रूप से रखें
- विंडोज डिफेंडर एंटीवायरस इस खतरे को इस तरह से पहचानता है फिरौती: Win32 / WannaCrypt तो इस ransomware का पता लगाने के लिए विंडोज डिफेंडर एंटीवायरस को सक्षम और अद्यतन और चलाएं।
- कुछ का उपयोग करें विरोधी WannaCry Ransomware उपकरण.
- EternalBlue भेद्यता जांचकर्ता एक नि: शुल्क उपकरण है जो जांचता है कि आपका विंडोज कंप्यूटर कमजोर है या नहीं अनंत ब्लू शोषण.
- एसएमबी 1 अक्षम करें KB2696547 पर प्रलेखित चरणों के साथ।
- अपने राउटर या फ़ायरवॉल पर नियम जोड़ने पर विचार करें बंदरगाह 445 पर आने वाले एसएमबी यातायात को अवरुद्ध करें
- एंटरप्राइज़ उपयोगकर्ता उपयोग कर सकते हैं डिवाइस गार्ड डिवाइस को लॉक करने और कर्नेल-स्तरीय वर्चुअलाइजेशन-आधारित सुरक्षा प्रदान करने के लिए, केवल विश्वसनीय अनुप्रयोगों को चलाने की इजाजत देता है।
इस विषय पर अधिक जानने के लिए तकनीक ब्लॉग पढ़ें।
WannaCrypt अब के लिए बंद कर दिया गया हो सकता है, लेकिन आप उम्मीद कर सकते हैं कि एक नए संस्करण को अधिक उग्र रूप से हमला करने के लिए, इसलिए सुरक्षित और सुरक्षित रहें।
माइक्रोसॉफ्ट एज़ूर ग्राहक WannaCrypt Ransomware धमकी को रोकने के तरीके पर माइक्रोसॉफ्ट की सलाह पढ़ना चाहेंगे।
अद्यतन करें: WannaCry Ransomware डिक्रिप्टर उपलब्ध हैं। अनुकूल स्थितियों के तहत, WannaKey तथा WanaKiwi, दो डिक्रिप्शन उपकरण ransomware द्वारा उपयोग की गई एन्क्रिप्शन कुंजी को पुनर्प्राप्त करके WannaCrypt या WannaCry Ransomware एन्क्रिप्टेड फ़ाइलों को डिक्रिप्ट करने में मदद कर सकते हैं।
