WannaCry is een ransomware-stam die op 12 mei 2017 in het wild opkwam en zich snel verspreidde om meer dan 200,000 systemen in meer dan 150 landen te infecteren.
Ook bekend als WannaCrypt, WanaCrypt0r, WCrypt en WCRY, maakt de WannaCry-worm gebruik van een specifieke exploit in het Server Message Block (SMB) -protocol van Microsoft met de codenaam ‘EternalBlue’ en gebruikt phishing-e-mailtactieken om oudere, ongepatchte Microsoft Windows-systemen te infecteren .
Potentiële schade van WannaCry beperkt door beveiligingspatch en kill-schakelaar
Microsoft herstelde de “EternalBlue” SMB-beveiligingsfout in een updateadvies uitgebracht op 14 maart (MS17-010), hoewel het destijds alleen van toepassing was op Windows 10. WannaCry is echter ontwikkeld voor ongepatchte Windows 7 en Windows Server 2008 en eerdere besturingssystemen.
Na de ontdekking van WannaCry in het wild heeft Microsoft de nieuwe SMB-patch uitgebreid met de besturingssystemen Windows XP, Windows 7, Windows 8 en Windows Server 2003.
Hoewel deze beveiligingspatches hebben bijgedragen aan het verminderen van de mogelijke verspreiding van WannaCry, blijven veel Windows-systemen verouderd als het gaat om recente beveiligingspatches en blijven ze daardoor kwetsbaar voor ransomware zoals WannaCry en andere malware.
De potentiële schade van WannaCry is ook verzacht door de trigger van een “kill switch” gevonden in de WannaCry-code. De WannaCry-code is ontworpen om te proberen verbinding te maken met een specifiek domein en alleen systemen te infecteren en verder te verspreiden als het verbinden met het domein niet lukt. Sinds zijn opkomst in het wild, werd de domeinnaam in de WannaCry geregistreerd en opgezet, wat resulteerde in het beperken van de verdere verspreiding en schade van de oorspronkelijke soort van WannaCry.
Hoe WannaCry werkt en zich verspreidt
WannaCry heeft twee hoofdcomponenten: een dropper-trojan die probeert misbruik te maken van de kwetsbaarheid van het MKB op oudere, ongepatchte Windows-systemen en de ransomware zelf.
Systemen die zijn geïnfecteerd door WannaCry worden gebruikt om te proberen andere niet-gepatchte Windows-systemen op het lokale netwerk en via internet te infecteren.
Op geïnfecteerde machines versleutelt WannaCry alle bestanden die het vindt en hernoemt het ze met een .WNCRY bestandsnaamextensie. WannaCry maakt vervolgens een losgeldbericht in elke map en vervangt de achtergrondafbeelding door een losgeldbericht waarin wordt geëist dat gebruikers $ 300 in Bitcoin-valuta betalen om al hun bestanden te laten decoderen en herstellen naar normaal.
Bescherming tegen WannaCry en andere ransomware- / malwareaanvallen
Om systemen te beschermen tegen WannaCry en andere vormen van ransomware en malware, raadt Microsoft aan om te upgraden naar Windows 10, dat niet kwetsbaar is voor de WannaCry / WannaCrypt-varianten.
Gebruikers worden ook aangemoedigd om de SMB-beveiligingsupdate op oudere Windows-systemen te installeren en op de hoogte te blijven van alle beveiligingspatches en updates via de Windows Update-service.
Bovendien kunnen gebruikers SMB specifiek uitschakelen, indien gewenst door de instructies hierin te volgen Microsoft Knowledge Base-artikel of beperk het SMB-verkeer door een regel toe te voegen aan de netwerkrouter of softwarefirewall om inkomend SMB-verkeer op poort 445 te blokkeren.