Шинэ, шилдэг бүхнийг биднээс!
Софтлайны салбар
Улаанбаатар хот
+976 7585 0765
info@softline.mn

Нүүр хуудас / Компанийн тухай / Мэдээ / WannaCry Ransomware дэлхий даяар тархлаа

WannaCry Ransomware дэлхий даяар тархлаа

15.05.2017
WannaCry Ransomware дэлхий даяар тархлаа

5-р сарын 12 буюу өнгөрсөн Баасан гаригийн сүүлийн хагаст байгууллагын админууд, аюулгүй байдлын мэргэжилтнүүдийн анхаарал суларч гэртээ харихаар зэхэж байх үеэр дэлхий даяар WannaCry Ransomware дэгдэж тархлаа. Энэхүү цахим халдлага нь файлын нэр үргэлжлээд «.WCRY» өргөтгөлтэй юм.

Хэдийгээр халдлага гараад 2 өдөр өнгөрсөн ч гэлээ өнөөдөр амралтнаасаа ирж компьютераа нээсэн хэдэн мянган хүмүүсээр хохирогчийн тоо нэмэгдсэж байгааг үгүйсгэхгүй. 

Эх сурвалжийн мэдээллэж байгаагаар WannaCry нэрт халдлагыг Microsoft Windows -г чиглэсэн алсын удирдлагатай SMBv2 код явуулж байгаа нь шинжээчдээр тогтоогдсон байна. 

Энэхүү вирус нь 2017 оны 4-р сарын 14-нд Shadow Brokers - н цоорхойгоор анх интернетэд InternalBlue кодоор нэвтэрсэн байна. 3-р сарын 14д Microsoft Patch хийгдсэн байсан боловч харамсалтай нь ихэнх байгууллагууд Patch инсталлаа суулгаагүй байсан байна.  

       

Эх үүсвэр: https://support.kaspersky.com/shadowbrokers

Хэдхэн цагийн өмнө Испанийн CERT багийнхан маш их хэмжээний цахим халдлага ирж буйг нийтэд анхааруулж, Испанийн хэд хэдэн байгууллагууд тус халдлагад өртсөн талаар сайтдаа мэдээллэсэн байна. Тэд анхааруулгадаа халдлагын урсгалыг зогсоохын тулд Microsoft March 2017 Security Bulletin update - г нэн даруй суулгахыг зөвлөсөн байна. 

Мөн Их Британи улсын Үндэсний эрүүл мэндийн үйлчилгээний газраас тус улсын 16 эрүүл мэндийн институци халдлагад өртсөн талаар мэдээллэсэн. Мөн ОХУ, Украйн, Энэтхэг гэх мэт хэд хэдэн улсаас халдлагад өртсөн баттай мэдээллүүд орж ирж байна.

Patch хийгдээгүй Windows компьютерүүд SMB сервисээ ажиллуулангуут “EternalBlue” вирус буюу эксплойт алсын удирдлагаар халдаж WannaCry Ransomware-т өртүүлдэг гэдгийг маш сайн ойлгох хэрэгтэй.

 CCN-CERT -н анхааруулга (Испаниар)

ХАЛДЛАГЫН ШИНЖИЛГЭЭ

Одоогоор 74 орны 45000 гаруй халдлага бүртгэгдээд байгаагийн ихэнх нь ОХУ-д бүртгэгдсэн байна. 

Халдлагын тархалтын газарзүйн байршлын мэдээлэл

 

Халдлагад ашиглаж байгаа хортон програм нь файлыг шифрлэн түгжих, түгжээг гаргах үйлдэлтэй, биткойнд 600$ байршуулахыг шаардсан түрүйвчний зурагтай. Эхний таван төлөлт 300$ байсан ба эх сурвалжийн шинжилж байгаа вирусны дээж дээр 600$ нэхэмжилж байгаа нь цахим гэмт хэрэгтнүүд төлбөрөө нэмэгдүүлж байж болзошгүй гэсэн таамаг байна. 

Энэхүү халдлага нь олон улсыг чиглэсэн болох нь гарч буй мессеж нь хэлний сонголтоор орчуулагдаж байгаагаар нотлогдож байна.

Хэсэг хугацааны дараа нэхэмжлэх мөнгө нь өсөж, төлөх хугацааг хугацаа товлон багасгаж энэ хугацаанд төлөхгүй бол мэдээлэл бүрэн устана гэсэн сүрдүүлгийн мессежийг дараах зургаар харуулж байна.  Хэрэглэгчийн wallpaper-т гарсан дүрс

Хортон програм нь нийтлэг англи хэл, латин кодон хуудас CP1252 -с өөр ямар нэгэн код хуудас, содон зүйлтэй холбоотой холбоос агуулаагүй байна. Файлууд нь Microsoft Windows 7 системийн хэрэгслээс хулгайлагдсан хувилбарын мэдээллийг агуулж байна:

WannaCry-д ашиглаж байгаа програмын шинж тэмдэг

Төлбөрийг хялбар байлгах үүднээс хортон прогам QR код бүхий btcfrog хуудас гаргаж ирдэг ба энэ нь тэдний хэтэвч 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 руу холбож оруулдаг байна.

Цахим гэмт хэрэгтний хэрэглэсэн нэг Bitcoin данс: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Удирдах, хянах зорилгоор Тор сүлжээнд хандахад шаардлагатай бүх хамаарал бүхий Тор сервисийг ашиглаж задардаг байна:

A list of dropped files related to Tor service

Зорилтот файлуудын хувьд, Ransomware дараах өргөтгөлтэй файлуудыг түгжиж байна: 

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Хортон програм дээрх форматуудын тодорхой хэдэн кластеруудийг онилж байна. Үүнд: 

өдөр тутмын хэрэглээний офис файлын өргөтгөлүүд (.ppt, .doc, .docx, .xlsx, .sxi).

бага хэрэглэгддэг офисын өргөтгөлүүд (.sxw, .odt, .hwp).

архив, медиа файлууд (.zip, .rar, .tar, .bz2, .mp4, .mkv)

имэйл, имэйл өгөгдлийн сан (.eml, .msg, .ost, .pst, .edb).

өгөгдлийн сангийн файлууд (.sql, .accdb, .mdb, .dbf, .odb, .myd).

хөгжүүлэгчдийн sourcecode, төслийн файлууд (.php, .java, .cpp, .pas, .asm).

шифрлэлтийн түлхүүр, сертификатууд (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

график дизайн, уран бүтээлчдийн файлууд (.vsd, .odg, .raw, .nef, .svg, .psd).

виртуал машины файлууд (.vmx, .vmdk, .vdi).

Мөн хэрэглэгчийн гарын авлагыг хүртэл дараах хэл дээр хийсэн байна:

Болгар, Хятад, Хроват, Чех, Дани, Герман, Англи, Филипино, Финланд, Франц, Грек, Денмарк, Индонез, Италь, Япон, Солонгос, Латви, Норвеги, Польш, Португаль, Румын, ОХУ, Словак, Испани, Швед, Турк, Вьетнам.

Монгол улсад Ransomware-т өртсөн маш олон хэрэглэгчид манай инженерүүдэд хандаж байсан ба энэхүү WannaCry Ransomware мөн Монголын хэрэглэгчдэд халдахыг үгүйсгэх арга байхгүй. Иймд та имэйлээ маш хянамгай, анхааралтай ашиглаж WannaCry цахим халдлагаас өөрийгөө болон байгууллагын аюулгүй байдлыг сэргийлнэ үү. 

1. Имэйл доторх сэжиг бүхий холбоосыг дарахгүй байх

2. PDF форматтай сэжиг бүхий хавсралт холбоосыг дарахгүй байх

3. PDF файл бүхий Zip-лсэн файлыг нээхгүй байх. 

Мөн 

- үйлдлийн системийн хамгийн сүүлийн хувилбарын patch суулгах

- таны компьютер дээр суулгасан вирусны эсрэг програм хангамжаа update хийх

 

ХЭРЭВ ТАНЫ КОМПЬЮТЕР ХАЛДЛАГАД ӨРТСӨН БОЛ КОМПЬЮТЕРАА НЭН ДАРУЙ СҮЛЖЭЭНЭЭС САЛГАНА УУ. 

 

Хүндэтгэсэн 

Softline, аюулгүй байдлын хэлтэс.