Para ele a infectar um computador de destino, o WannaCry vírus ransomware pode aproveitar a ETERNALBLUE e DOUBLEPULSARE explorações de fuga. No entanto, o vazamento revelou vários outros exploits que podem ser utilizados no processo de infecção. Estas explorações são conhecidos por ser o seguinte:
→EASYBEE EASYPI EWOKFRENZY EXPLODINGCAN ETERNALROMANCE EDUCATEDSCHOLAR EMERALDTHREAD EMPHASISMINE ENGLISHMANSDENTIST ERRATICGOPHER ETERNALSYNERGY ETERNALBLUE ETERNALCHAMPION ESKIMOROLL ESTEEMAUDIT ECLIPSEDWING EXPANDINGPULLEY GROK FUZZBUNCH DOUBLEPULSAR PASSFREELY ODDJOB JEEPFLEA_MARKET
Além disso, o vírus ransomware também tem sido relatado para realiza-lo ataques através do Servidor de protocolo de Bloco de Mensagens, também conhecido como o SMB. Para saber como desativar todos os SMB atividade em seu computador, recomendamos que você assista a following video.
Além disso, um dos métodos de replicação que foram associados com WannaCry ransomware é através de uma infecção do Worm, o que significa que o vírus pode, automaticamente se espalhou a partir de um sistema para outro. Isto é particularmente perigoso, porque enquanto você está fazendo sua atividade diária, você pode de repente ver o “Ooops, os Seus ficheiros importantes estão encrypted” mesmo sem ter que fazer nada. Tudo o que preciso é de outro computador infectado para espalhar o vírus. Aqui está um vídeo de demonstração abaixo pelo pesquisador Kevin Beaumont (@GossiTheDog):
Se o seu chefe pensa WannaCry tem que ser e-mail para transmissão de e-mail, show, então este vídeo de PCs infectar outros computadores. pic.twitter.com/00MT2V9BW2
— Kevin Beaumont (@GossiTheDog) May 14, 2017
Depois de uma infecção por a mais recente iteração da WannaCry ransomware ocorre, ele imediatamente começa a modificar o computador. Uma das modificações é realizada com o auxílio de um .Script VBS, também conhecido como o Visual Basic Script. Ele usa este script para obtenção de permissões administrativas no computador infectado. Depois de ter feito isso, o vírus cai um bloqueado .arquivo zip no computador infectado, chamado wcry.zip. Este arquivo é extraído e em vários Windows pastas, os seguintes arquivos maliciosos de malware são ignorados:
O malware também utiliza diferentes c2 endereços para se conectar a TOR baseado em páginas da web para transmitir informações sobre o sistema infectado. Além disso, o WannaCry ransomware concede permissões administrativas a fim de ser capaz de alterar o papel de parede para “Ooops, os Seus ficheiros importantes estão encrypted”, criptografar arquivos e executar várias outras tarefas. O comando usa para obter permissões é o seguinte:
Download ferramenta de remoçãoremover encrypted→ icacls . /conceder a Todos:F /T /C /Q
Após esta atividade já concluída, a infecção ransomware tem agora o controle administrativo e encerra qualquer banco de dados de processos, se ele detecta-los para estar presente no computador infectado:
Mas isso não é tudo da actividade exercida por esta infecção ransomware. O vírus também tem o objetivo de realizar diversas outras tarefas no computador infectado, como adulteração com o seguinte Windows o editor do Registro chaves:
O processo de criptografia de vírus ransomware compreende a utilização do AES (Advanced Encrytpion Standard) com uma força de bits de 128. Ele criptografa os arquivos no computador comprometido e, em seguida, uma pública e privada RSA-2048 chave está lá para certificar-se de que a chave simétrica gerada a partir de encriptação AES é encrypted e pública e a chave privada é gerada a partir desta. No entanto, vários RSA com chaves privadas também podem ser gerados para cada arquivo. Os cyber-criminosos podem estar Na posse de uma chave mestra que abre todas as AES, RSA encrypted chaves.
Os arquivos que o ransomware procura são os seguintes tipos:
→ .ldf, .sln, .suo, .cpp .o pas .asm, .cmd .bat .vbs, .o dip .dch, .sch .brd, .jsp .php, .classe, .wav, .swf .fla, .wmv .mpg .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma .mid .djvu, .svg, .psd .nef, .tiff .tif .cgm, .raw .gif .png, .bmp, .jpg, .jpeg .vcd .iso .backup .zip .rar, .tgz, .tar .bak, .tbk, .PAQ, .ARCO .aes .gpg, .vmx, .vmdk, .vdi .sldm, .sldx, .ist .sxi, .hwp, .snt, .onetoc2, .dwg .pdf, .wks, .rtf .csv .txt .vsdx, .vsd, .edb .odp .otp .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .leigos .lay6, .asc, .sqlite3, .sqlitedb, .sql .accdb, .mdb .dbf, .odb, .frm, .myd, .myi, .o ibd, .mdf .msg .ost, .pst .potm, .potx .eml, .der, .pfx, .chave .crt .rse .pem .odt, .ott, .sxw, .stw, .uot, .max, .ods .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pote .pptm, .pptx .ppt .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls .dotx, .dotm, .ponto .docm, .docb, .docx, .doc, .jar
Se detectado o WannaCry rasomware vírus encripta-os e eles podem aparecer como o seguinte, dependendo de qual variante do vírus que você tenha sido infectado por:
Guia de remoção manual encrypted
Passo 1. Desinstalar encrypted e relacionados a programas
Windows XP
- Abra o menu iniciar e clique em painel de controle
- Escolha Adicionar ou remover programas
- Selecione o aplicativo indesejado
- Clique em remover
Windows 7 e Vista
- Clique em Iniciar e selecione Painel de controle
- Ir para desinstalar um programa
- Botão direito do mouse sobre o software suspeito
- Selecione desinstalar
Windows 8
- Mover o cursor para o canto inferior esquerdo
- Botão direito do mouse e abra o painel de controle
- Selecione desinstalar um programa
- Excluir aplicativos indesejados
Passo 2. Remover encrypted do seu navegador
Remover encrypted de Internet Explorer
- Abra o IE e clique no ícone de engrenagem
- Selecione Gerenciar Complementos
- Remover extensões indesejadas
- Alterar sua página inicial: ícone de engrenagem → opções da Internet (guia geral)
- Redefinir o seu navegador: ícone de engrenagem → opções da Internet (guia Avançado)
- Clique em redefinir, a caixa de seleção e clique em redefinir novamente
Apagar encrypted do Mozilla Firefox
- Abrir o Mozilla e clicar no menu
- Escolha Add-ons e ir para extensões
- Selecione o complemento não desejado e clique em remover
- Reiniciar Mozilla: Alt + H → informações de solução de problemas
- Clique em Reset Firefox, confirmá-la e clique em concluir
Desinstalar encrypted de Google Chrome
- Abra Google Chrome e clique no menu
- Selecione as extensões de ferramentas →
- Escolha o complemento e clique em ícone lixeira
- Alterar o seu mecanismo de pesquisa: configurações de Menu →
- Clique em gerenciar os motores de busca em busca
- Exclua o provedor de pesquisa indesejáveis
- Redefinir o seu navegador: configurações → Redefinir configurações do navegador
- Clique em Redefinir para confirmar sua ação
