Att hindra en Notpetya- och WannaCry-attack : Redogörelse med förebyggande metoder och tekniker

Nilsson, Anton

January 2018

WannaCry och NotPetya är två ransomware-program som använder sig av National Security Agency (NSA) läckta penetreringsverktyg EternalBlue för att få operativsystemsbehörighet över ett Windowssystem som tillåter kommunikation med dess Service Message Block (SMB) server. WannaCry och NotPetya utnyttjar detta genom att söka igenom systemets alla lagringsmedier efter användarfiler och krypterar sedan dessa med både symmetriska och asymmetriska krypteringsalgoritmer. För att få tillgång till den nyckel som används för att dekryptera filerna krävs det att offret betalar förövaren en specifik summa, vanligtvis i Bitcoin. Det finns ingen garanti att filerna återfås efter betalning utan endast förövarens ord, uttryckt i ett utpressningsmeddelande som först uppenbarar sig efter att alla filer krypterats. Det finns flera metoder och tekniker som kan användas för att bygga ett försvar mot att ransomware infekterar eller kryptera data. En metod för att förhindra att NotPetya och WannaCry infektera ett system är att blockera all kommunikation med Windows-systemets SMB-server. Eftersom detta förhindrar alla program från att kommunicera med systemet genom SMB protokollet utgör denna metod endast ett alternativ om systemet inte är beroende av funktioner så som fil och skrivardelning. En metod för att förhindra att data försvinner vid en eventuell infektion är att kontinuerligt säkerhetskopiera sina filer till externa lagringsmedier så som till CD-skivor, USB-minnen och hårddiskar. Detta gör det möjligt att återfå data efter en infektion och offret behöver därför inte att förlita sig på förövaren för att få tillbaka sina filer.

wannacry

notpetya

malware

eternalblue

ransomware

crypto

Computer Systems

Datorsystem

Analýza síťové komunikace Ransomware / Ransomware Traffic Analysis

Šrubař, Michal

January 2017

The focus of this work is crypto-ransomware; a variant of malware, an analysis of this malware’s network communication, and the identification of means by which it may be detected in the network. The thesis describes the methodology and environment in which the malware’s network communications were studied. The first part of the thesis provides a network traffic analysis of this type of malware with a focus on HTTP and DNS communication, including anomalies that can be observed in the network during this malware’s activity. The thesis also includes a discussion of the user behavior of devices infected by this type of malware. The resulting data was used to identify and describe four detection methods that are able to recognize the malware from its network communication using the HTTP protocol. Finally, a description of several signatures that can be used as indicators of a possible infection by this malware are provided.