L`attaque globale ransomware et comment protéger vos données
Une cyberattaque massive a frappé les ordinateurs partout dans le monde. L`auto-répliquant ransomware très virulent - connu sous le nom WanaCryptor, Wannacry ou Wcry - a partiellement affecté une Agence de sécurité nationale (NSA) exploiter relâchés dans la nature mois dernier
Contenu
Le ransomware pense avoir infecté au moins 100.000 ordinateurs, selon antivirus développeurs, Avast. L`attaque massive principalement ciblé la Russie, l`Ukraine et Taiwan, mais la propagation des grandes institutions à travers au moins 99 autres pays. En plus d`exiger 300 $ (environ 0,17 Bitcoin au moment de l`écriture), l`infection se distingue également par son approche multi-langues pour obtenir la rançon: le logiciel malveillant prend en charge plus de deux langues douzaine.
Que se passe-t-il?
WanaCryptor est à l`origine des perturbations massives, presque sans précédent. Le ransomware affecte les banques, les hôpitaux, les télécommunications, les services publics d`électricité, et d`autres infrastructures de mission critique.Quand les gouvernements attaque: Nation-State Malware ExposedQuand les gouvernements attaque: Nation-State Malware ExposedUne cyberguerre se déroule en ce moment, caché par l`Internet, ses résultats rarement observés. Mais qui sont les acteurs de ce théâtre de guerre, et quelles sont leurs armes?Lire la suite
Dans le R.U. seul, au moins 40 NHS (National Health Service) Les fiducies ont déclaré des situations d`urgence, forçant l`annulation d`interventions chirurgicales importantes, ainsi que porter atteinte à la sécurité des patients et la sécurité et presque certainement entraîné la mort.
WanaCryptor apparue en Février 2017. La version initiale du ransomware a changé les extensions de fichier affectées à « .WNCRY », ainsi que le marquage de chaque fichier avec la chaîne « WANACRY! »
WanaCryptor 2.0 se propage rapidement entre les ordinateurs en utilisant un exploit associé au groupe d`équations, un collectif de piratage associée étroitement avec la NSA (et fortement répandu pour être leur maison « sale » unité de piratage). chercheur en sécurité Respecté, Kafeine, a confirmé que l`exploit connu sous le nom ETERNALBLUE ou MS17-010 était susceptible d`avoir présenté dans la version mise à jour.
Exploits multiples
Cette épidémie ransomware est différent de ce que vous avez peut-être déjà vu (et je l`espère, pas d`expérience). WanaCryptor 2.0 combine la SMB fuite (Server Message Block, un protocole de partage de fichiers réseau Windows) exploiter avec une charge utile de l`auto-réplication permettant au ransomware de se propager d`une machine vulnérable à l`autre. Cette rançon ver découpe la méthode habituelle de livraison de ransomware d`un e-mail infecté, un lien ou une autre action.
Adam Kujawa, chercheur à Malwarebytes dit Ars Technica « Le vecteur initial d`infection est quelque chose que nous essayons toujours de savoir ... Considérant que cette attaque semble ciblée, il aurait pu être soit par une vulnérabilité dans les défenses de réseau ou d`une attaque de phishing lance très bien conçu. Peu importe, il se propage à travers des réseaux infectés en utilisant la vulnérabilité EternalBlue, infecter les systèmes non patchés supplémentaires « .
WanaCryptor tire également parti DOUBLEPULSAR, une autre NSA fuite exploit. Ceci est une porte dérobée utilisé pour injecter et exécuter du code malveillant à distance. Les analyses d`infection pour les hôtes déjà infectés par la porte dérobée, et une fois trouvé utilise la fonctionnalité existante pour installer WanaCryptor. Dans les cas où le système hôte ne dispose pas d`une porte dérobée DOUBLEPULSAR existante, le logiciel malveillant revient à la ETERNALBLUE SMB exploiter.CIA Hacking & Vault 7: Votre guide pour la dernière WikiLeaks presseCIA Hacking & Vault 7: Votre guide pour la dernière WikiLeaks presseTout le monde parle de WikiLeaks - encore une fois! Mais la CIA est pas vraiment vous regarder via votre téléviseur intelligent, est-il? Certes, les documents divulgués sont des faux? Ou peut-être qu`il est plus compliqué que ça.Lire la suite
Mise à jour de sécurité critique
La fuite massive des outils de hacking NSA a fait les manchettes dans le monde entier. preuve immédiate et sans égal que la NSA collecte et stocke les exploits inédits zero-day pour son propre usage est là-bas. Cela pose un énorme risque de sécurité, comme nous l`avons vu.
Fortuitement, Microsoft patché le Eternalblue exploit Mars avant que les massives des armes de qualité de courtiers Ombre exploitent-trove a défrayé la chronique. Compte tenu de la nature de l`attaque, que nous connaissons cet exploit spécifique est en jeu, et la nature rapide de l`infection, il semble un grand nombre d`organisations ont échoué à installer la mise à jour critique - plus de deux mois après sa sortie.Comment & Pourquoi vous devez installer ce correctif de sécuritéComment & Pourquoi vous devez installer ce correctif de sécuritéLire la suite
En fin de compte, les organisations concernées voudront jouer le jeu de blâme. Mais où le point de doigt? Dans ce cas, il y a assez de partager le blâme autour de: la NSA pour constitution de stocks dangereux exploits zero-day, les mises à jour qui WanaCryptor malfaiteurs avec les exploits fuite, les nombreuses organisations qui ont ignoré une mise à jour de sécurité critiques et des organisations supplémentaires qui utilisent encore Windows XP.
Que les gens soient morts parce que les organisations ont trouvé la charge de la mise à niveau de leur système d`exploitation principal est tout simplement surprenante.
Microsoft a immédiatement publié une mise à jour de sécurité critiques pour Windows Server 2003, Windows 8 et Windows XP.
Suis-je à risque?
propagation WanaCryptor 2.0 comme une traînée de poudre. Dans un sens, les gens en dehors de l`industrie de la sécurité avaient oublié la propagation rapide d`un ver, et la panique qu`elle peut causer. Dans cet âge hyper-connecté, et combiné avec-ransomware Crypto, les logiciels malveillants étaient fournisseurs sur un gagnant terrifiant.
Video: Ransomware WanaDecryptor / WannaCry : exemple de ver informatique (Worm)
Êtes-vous à risque? Heureusement, devant les États-Unis se réveilla-et allait le jour de calcul, l`MalwareTechBlog a trouvé un kill-switch caché dans le code malveillant, réduire la transmission de l`infection.
Le commutateur impliqué tuer une très longue aucun sens domaine prénom - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - que le malware fait une demande.
Si la demande est de retour en direct (à savoir accepte la demande), le logiciel malveillant ne contamine pas la machine. Malheureusement, cela ne suffit pas que quelqu`un déjà infecté. Le chercheur en sécurité derrière MalwareTechBlog a enregistré l`adresse de suivre de nouvelles infections par leurs demandes, sans se rendre compte qu`il était le coupe-circuit d`urgence.
Malheureusement, il y a la possibilité que d`autres variantes du ransomware existent, chacun avec leur propre kill-switch (ou pas du tout, comme le cas).
Video: Wannacry - Qu'est ce que c'est et comment vous protéger
La vulnérabilité peut également être atténué par la désactivation SMBv1. Microsoft fournit un tutoriel complet sur la façon de le faire pour Windows et Windows Server. Sous Windows 10, cela peut être rapidement réalisé en appuyant sur Touche Windows + X, sélection PowerShell (Admin), et coller le code suivant:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
SMB1 est un ancien protocole. Des versions plus récentes ne sont pas vulnérables à la variante WanaCryptor 2.0.
De plus, si votre système a mis à jour comme d`habitude, vous êtes improbable à ressentir les effets directs de cette infection particulière. Cela dit, si vous aviez un rendez-vous annulé NHS, le paiement bancaire qui a mal tourné, ou un paquet vital ne est pas arrivé, vous avez été affecté, peu importe.
Et à bon entendeur, un exploit patché ne fait pas toujours le travail. Conficker, tout le monde?
Et ensuite?
Dans le R.U., WanaCryptor 2.0 a été initialement décrit comme une attaque directe sur le NHS. Cela a été réduit. Mais la question reste que des centaines de milliers de personnes ont connu une perturbation directe en raison de logiciels malveillants.
Le logiciel malveillant porte maîtres mots d`une attaque avec des conséquences non intentionnelles de façon drastique. expert Cybersécurité, le Dr Afzal Ashraf, a déclaré à la BBC que « ils ont probablement attaqué une petite entreprise en supposant qu`ils obtiendraient une petite somme d`argent, mais son entré dans le système NHS et maintenant ils ont la pleine puissance de l`Etat contre eux - parce que de toute évidence, le gouvernement ne peut se permettre pour ce genre de chose arriver et réussir « .
Il est non seulement le NHS, bien sûr. En Espagne, El Mundo rapport que 85 pour cent des ordinateurs à Telefonica ont été touchés par le ver. Fedex confimed ils avaient été touchés, ainsi que le Portugal Telecom, et MegaFon de la Russie. Et c`est sans tenir compte des principaux fournisseurs d`infrastructure, aussi.
Deux adresses Bitcoin créées (ici et ici) pour recevoir les rançons contiennent maintenant un combiné 9,21 BTC (environ $ 16,000 USD au moment de la rédaction) de 42 transactions. Cela dit, et corroborer la thèse, est le manque d`identification du système « conséquences non intentionnelles » fourni avec les paiements Bitcoin.
Alors qu`est-ce qui se passe ensuite? Le processus de nettoyage commence, et les organisations concernées comptent leurs pertes, tant financières que les données. En outre, les organisations concernées prendront un long regard sur leurs pratiques de sécurité et - je vraiment, vraiment espère - mise à jour, laissant Windows XP vétustes et dangereux maintenant derrière le système d`exploitation.
Nous esperons.
Avez-vous été directement affecté par WanaCryptor 2.0? Avez-vous perdu des données, ou a eu un rendez-vous annulé? Pensez-vous que les gouvernements devraient forcer l`infrastructure essentielle à la mission de mettre à niveau? Faites-nous savoir vos expériences WanaCryptor 2.0 ci-dessous et nous donner une part si nous vous avons aidé.