WannaCry-ransomware is de nieuwe en wijdverbreide cyberpandemie die al meer dan 230.000 computers heeft gegijzeld. Met zijn huidige verspreidingsvolume nadert WannaCry het niveau van andere beruchte cyberbedreigingen zoals Cerber of Locky.
Maar wat onderscheidt? WCry van deze twee gevaarlijkste parasieten van vorig jaar is het gebruik van nieuwe distributietechnieken die het is niet nodig dat slachtoffers op de geïnfecteerde links klikken of op een andere manier deelnemen aan de ransomware-acquisitie manier.
De malware gebruikt praktijken en tools die door de Amerikaanse inlichtingendienst worden gebruikt om in computers in te breken en het kwaadaardige script uit te voeren om de gebruikersgegevens ontoegankelijk te maken. Ransomware maakt met name gebruik van EternalBlue-exploit om Windows-apparaten met een niet-gepatchte MS17-010-kwetsbaarheid te targeten. Dit beveiligingslek is open op Windows-versies die niet langer worden ondersteund en geen beveiligingsupdates ontvangen.
Gelukkig heeft Microsoft als reactie op de laatste gebeurtenissen noodpatches uitgebracht voor Windows XP, Windows Server 2003, Windows 8 en een paar andere verouderde besturingssystemen. Maar zelfs de software-update is misschien niet voldoende om ransomware-aanvallen te voorkomen.
Hieronder zullen we instructies geven over het uitschakelen van de SMB-functionaliteit (Server Message Block) die wordt gebruikt om de kwaadaardige te implementeren WanaCrypt0r bestanden op de computer. Maar voordat we naar de tutorial gaan, willen we een korte definitie geven van de malware en hoe deze zich gedraagt op de geïnfecteerde computer, zodat u deze gemakkelijker kunt herkennen.
Wannacry gebruikt verschillende extensies om versleutelde bestanden te markeren
Zoals je misschien hebt gemerkt, hebben we in de voorgaande paragrafen verschillende namen gebruikt om naar het WannaCry-virus te verwijzen. Het komt omdat het virus inderdaad rondreist in verschillende vormen en vormen, die waarschijnlijk lastiger te herkennen en te beëindigen zijn.
Uit het onderzoek is gebleken dat het virus nu vier verschillende extensies gebruikt: .wncry, .wncrytt, .wcry of .wncryt om de versleutelde bestanden te markeren, maar we kunnen meer variaties verwachten naarmate de ransomware oppikt snelheid. Om deze extensies te laten vallen en bestanden te herstellen, moeten de gebruikers de afpersers tot 600 dollar in Bitcoin betalen; anders worden de versleutelde gegevens vernietigd. @[e-mail beveiligd] venster opent een timer die de tijd aftelt tot de gegevensvernietiging. Helaas bestaat er momenteel geen gratis decoderingssoftware die zou kunnen helpen versleutelde gegevens gratis te herstellen.
Dus als je eenmaal bent geïnfecteerd, kun je eigenlijk niet veel doen om de gevolgen van de aanval terug te draaien. Het is dus veel belangrijker om actie te ondernemen en uw apparaat te beschermen voordat een virus voet op uw systeem zet. Hier zijn enkele stappen die u moet nemen om WannaCry-infiltratie te voorkomen.
Hoe SMB uitschakelen en WannaCry-aanval voorkomen?
De SMB-functie (Server Message Block) is de belangrijkste kwetsbaarheid waarmee de ransomware computers kan infecteren. Aangezien deze functie standaard is ingeschakeld op Windows, kunnen afpersers deze gemakkelijk gebruiken om de aanval uit te voeren. Daarom raden we u ten zeerste aan om het uit te schakelen als u het niet gebruikt. Het is heel eenvoudig en je kunt het in drie basisstappen bereiken:
- Klik op het Windows-logo in de linkerbenedenhoek van het scherm en typ "Windows-functies" in de zoekbalk
- Open het functievenster en ga naar instellingen en zoek naar het SMB-item. Demarkeer het en klik op OK
- Herstart de computer
U kunt SMB ook uitschakelen via PowerShell. Wat u moet doen, is "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol" typen. Nadat de functie is uitgeschakeld, raden we aan de computer opnieuw op te starten.