WannaCry: таланты и их поклонники

Закодировать всё

добавить в избранное

WannaCry: таланты и их поклонники

Прочитали: 16469 Комментариев: 84 Рейтинг: 149

26 мая 2017

Напомним, что WannaCry для своей работы использовал инструменты и уязвимости, которые были опубликованы группировкой The Shadow Brokers, похитившей их у Equation Group, подозреваемой в связях с Агентством национальной безопасности США.

«Эпидемия» WannaCry (именно так, в кавычках) выглядит довольно странно:

Система распространения WannaCry существенно отличается от привычных шифровальщиков, распространяющихся через почтовые спам-рассылки и тогда количество заражений пропорционально мощности рассылки. В отличие от них, WannaCry похож на финансовую пирамиду: каждый новый зараженный компьютер пытается заражать и локальную сеть, и другие интернет-адреса. Очень похоже на эпидемии начала века. Но итог! Melissa заразила 20% компьютеров по всему миру. I Love You! – миллионы ПК за несколько часов. Может быть, Интернет стал более защищенным с тех пор?

Более чем 18% пользователей работают на ПК с нелицензионной ОС Windows, у 23% отключен сервис Windows Update.

А что WannaCry? По разным оценкам – всего от 200 до 400 тысяч компьютеров.

Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.

http://www.securitylab.ru/news/486205.php

Вы слышали от СМИ об XData (он же Trojan.Encoder.11526 в классификации Dr.Web)? Странно.
Атака затронула практически исключительно крупнейшие компании и частных пользователей – количество пострадавших компаний малого и среднего бизнеса незначительно.

Ответы партнеров «Доктор Веб» на вопрос о том, пострадали ли компании малого и среднего бизнеса из числа их клиентов (имена партнеров убраны):
M..:еще нет А..:нет А..:нет В..:нет В..:у нас вообще никто не пострадал, но все напугались :)

Странно для столь мощного способа распространения? Не то слово. А вот пиар был обеспечен отменный.

Как вы считаете, почему именно этот шифровальщик был так распиарен в СМИ? Конспирология?

Вопрос в ходе вебинара для партнеров «Доктор Веб»
Возможность расшифровки не гарантирована, так как ключи шифрования файлов, на которых пользователю демонстрируется возможность расшифровки, и всех остальных зашифрованных файлов – разные.
Сумма выкупа (от 300 долларов США в биткойнах) – для основной массы заразившихся компаний – даже не деньги. Для многих из них факт выплаты вымогателям невозможен по причинам репутации.

Итог истории с WannaCry – огромное число публикаций в СМИ при минимуме заражений и весьма скромном заработке злоумышленников. Кому это выгодно? Неизвестно.

Но как минимум для желающих заработать были продемонстрировано следующее:

Возможность атаковать не менее четверти компьютеров мира.
Возможность осуществить гарантированное проникновение – не нужно полагаться на то, что пользователь кликнет по ссылке, поскольку проникший троянец автоматически получает права администратора.

WannaCry достаточно примитивен, и о его недостатках говорили мировые СМИ:

Отсутствие перешифрования.
Отсутствие средств маскировки от антивирусных программ.
Уязвимая система связи с серверами управления.

Не нужен шаманский бубен для предсказания того, что должно случиться дальше.

Раз:

Исследователь Мирослав Стампар (Miroslav Stampar) обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.

С целью обмануть исследователей безопасности EternalRocks маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. Вредонос используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак.

Для связи с C&C-сервером EternalRocks использует Tor. Получив первый запрос от червя, сервер отвечает лишь спустя 24 часа отправкой файла shadowbrokers.zip. После разархивирования файла червь начинает сканировать интернет на предмет открытых портов 445. В отличие от WannaCry в коде вредоноса отсутствует вшитый адрес домена, позволяющего его отключить. На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.

http://www.securitylab.ru/news/486210.php

Видно, что код троянца (определяемого Dr.Web как Trojan.EternalRocks.1) существенно интереснее – целых 7 используемых уязвимостей!

Два:

Уязвимость EternalBlue, использованная в шифровальщике WannaCry, была использована и в майнере криптовалюте Adylkuzz, также распространяющемся с помощью EternalBlue

http://www.securitylab.ru/news/486210.php

Три (самый продвинутый вариант):

UIWIX является новым семейством вредоносного ПО. Как и WannaCry, вредонос эксплуатирует уязвимость в SMB, исправленную с выходом бюллетеня безопасности MS17-010. Эксплоит для нее (EternalBlue) предположительно был в распоряжении Агентства национальной безопасности США до тех пор, пока его не опубликовали хакеры из The Shadow Brokers.

Помимо эксплуатации одной и той же уязвимости, UIWIX и WannaCry больше ничем не похожи. В отличие от WannaCry, UIWIX не использует файлы – после эксплуатации уязвимости вредонос выполняется в памяти. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО. UIWIX гораздо незаметнее, чем WannaCry. Оказавшись на виртуальной машине или в песочнице, вредонос самоуничтожается. Кроме того, функция самоуничтожения срабатывает, если вымогатель попадает на компьютер в России, Казахстане или Белоруссии.

В отличие от WannaCry, UIWIX не сохраняется на инфицированной системе после перезагрузки компьютера, и в его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов. Авторы UIWIX требуют за расшифровку файлов меньшую сумму - $200, а не $300-600.

Как показал анализ кода, UIWIX способен собирать учетные данные для авторизации в браузере, сервисах электронной почты, мессенджерах и FTP.

http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php

Dr.Web классифицирует данного троянца как Trojan.Encoder.11536. В нем реализованы методы сокрытия от антивирусов, он определяет наличие виртуальных машин и песочниц для их обхода.

Станет ли использование уязвимостей новым популярным трендом проникновения? Время покажет.

#шифровальщик #Trojan.Encoder #киберпреступление #вирусописатель #обновления_безопасности #уязвимость #вымогательство

Антивирусная правДА! рекомендует

Cвершилось то, о чем предупреждали ~~большевики~~ специалисты по ИБ: ставить обновления НУЖНО — для всего ПО, установленного на компьютере. Кому не лень, может посчитать, сколько раз мы писали об этом в «Антивирусной правде». Потому что если не обновляться, картина может быть, например, такая:

Результат атаки троянца-шифровальщика, фото взято с http://www.securitylab.ru/blog/personal/Morning/341825.php

Мы неоднократно писали, что публикация уязвимостей – это зло, так как, хотя к ним и выпускают патчи, пользователи их не устанавливают. Причем не устанавливают от слова «совсем». Об этом известно и злоумышленникам!

Мой текущий личный ноут, работающий на «Windows 7 Домашняя расширенная», разного рода патчи устанавливает автоматически, когда я его выключаю...

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?

Вопрос журналиста в пиар-службу «Доктор Веб»

Часто сразу после публикации уязвимостей (и выпуска патчей) начинаются массовые атаки хакеров или скрипт-кидди – «умельцев», которые сами они не могут разрабатывать/искать уязвимости и пользуются результатами чужого «труда».

Если бы у всех были установлены патчи – ни один из вышеперечисленных троянцев никогда бы не постучался в вашу дверь.

У меня тесть поймал... Играл в Танчики онлайн, отошел чаю налить и подошедши к компу обнаружил окно шифратора и сообщение что все зашифровано.

Сообщение участника вебинара для партнеров «Доктор Веб»
Отключайте все ненужные сервисы. Чтобы атака WannaCry стала невозможной, можно было даже не устанавливать патчи, а просто выполнить одну системную команду! Кстати, рекомендация об отключении SMBv1 опубликована еще в 2016 году, Карл!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
16:33:47 2018-10-31

Понятно. Думай, обновляйся, снова думай, снова обновляйся.

Денисенко Павел Андреевич
13:35:20 2018-08-05

когда устанавливайте обновления, снимайте все галочки.

Неуёмный Обыватель Собкор
01:29:04 2018-07-03

В одном выпуске написано "ставить обновления нужно на все ПО", в другом "нужно обновлять антивирус, остальное не нужно, а нужно сначала подумать". Куда податься обычному крестьянину, не понятно.

alex-diesel Собкор
14:36:07 2018-04-18

рекомендации стандартные, уже надоевшие, но по-прежнему актуальные.

удивительно, сколько вроде бы грамотных людей ими пренебрегают...

vasvet
20:45:42 2018-04-05

Обновления полезны для всех программ.

mariana
08:18:06 2017-05-30

примазались

forrus
22:54:07 2017-05-29

Нравиться мне эта рубрика

bob123456 Собкор
19:53:39 2017-05-29

@Вячеслав, Спасибо. А что нужно закрыть файрволом, чтобы хоть как-то обезопасить операционную систему и данные от этого вируса?

AntonIT
12:51:11 2017-05-29

"..для отвода глаз" - это лишь начало.

Вячeслaв Собкор
09:59:19 2017-05-29

@bob123456, защититься надежно - врядли. От Wanna Cry можно закрыться файрволом и поставить патч, выпущенный Microsoft. Но к сожалению неподдерживаемые продукты - мина с неизвестным временем взрыва. Дыры точно есть, когда их начнут использовать хакеры - неизвестно. А закрывать дыры никто не собирается. Публикация патча для Wanna Cry исключительно сделана из-за паники в СМИ

Littlefish Собкор
23:33:13 2017-05-28

В итоге распиарили самого слабенького червя. Может быть чтобы отвести взгляд от других?

bob123456 Собкор
12:22:48 2017-05-28

@eaglebuk, Патча KB4012598 достаточно?

eaglebuk
11:25:30 2017-05-28

@bob123456, обновления выпущены для Server2003, а вот с антивирусом не всегда понятно, как будто бы и нужен, но много и противников установки, не видят в этом необходимости. Если он как сервер используется, конечно, а не в качестве домашней системы.

lev
06:20:24 2017-05-28

Ознакомлен! Спасибо.

razgen Собкор
01:08:51 2017-05-27

@ada, с Днём рождения.

razgen Собкор
01:06:46 2017-05-27

@iAFC, также считаю, что эти цифры сильно занижены.

Б...а
23:48:29 2017-05-26

Обновления нужны для спокойного сна )

Luger Собкор
23:37:38 2017-05-26

Производство энкодеров на подъеме )

bob123456 Собкор
23:24:18 2017-05-26

Кстати, что посоветуете для Windows Server 2003? Можно ли как-то защититься, работая в данной операционной системе?

solec
23:22:23 2017-05-26

Больше паники было со стороны СМИ.

bob123456 Собкор
23:18:16 2017-05-26

Надо понимать, что обновления - это не чья-то прихоть. Зря потраченное время? Так при заражении зря потраченного времени (тем более денежных средств) будет гораздо больше. Скупой платит дважды.

iAFC
22:18:15 2017-05-26

"Более чем 18% пользователей работают на ПК с нелицензионной ОС Windows, у 23% отключен сервис Windows Update."

Мне кажется что цифры занижены.

Любитель пляжного футбола Собкор
22:12:32 2017-05-26

Пару месяцев обновлял всё ПО на компьютере, спасибо за это выпускам "Антивирусной правды", раньше лень было с этим возиться.
P.S. Необычно видеть такое на табло на ж/д вокзале. :)

kva-kva
21:40:19 2017-05-26

распиарено!

mk.insta
20:43:41 2017-05-26

таланты не спрячутся

orw_mikle
20:28:30 2017-05-26

Ну корпоративные наверное обновляются, но в Питере не работали все подразделения ГИБДД МВД обслуживающие водителей, а все потому, что словили примитивный WannaCry.

dyadya_Sasha Собкор
20:22:24 2017-05-26

Вся история WannaCry - одна из незаконченных лабораторных работ по теме: "Как развязать кибервойну оставшись в стороне" с элементами поддержки национального бизнеса.

ek
20:12:49 2017-05-26

Правильная правда

dyadya_Sasha Собкор
20:06:47 2017-05-26

@Karpensky, "...WannaCry заставил задуматься об ИБ очень и очень многих!..."

Заставил задуматься и потенциальных охотников и потенциальных жертв.

НинаК
19:43:36 2017-05-26

врут многие

B0RIS
18:35:35 2017-05-26

Спасибо. Dr.Web нам поможет.

В...а
18:06:20 2017-05-26

маскировка!

Людмила
17:52:05 2017-05-26

@Тень_Неуёмного,
Принцип "отобрать и поделить" не умирает? нет. мы уже это проходили

Людмила
17:50:26 2017-05-26

@Маша, @Sasha50,
с вашими наградами будем разбираться в понедельник, когда выйдет из отпуска разработчик проекта.

a13x Собкор
17:45:29 2017-05-26

@Людмила, "наша работа псу под хвост уже 318-й выпуск идет" - ничего не под хвост. Интересно всё :) когда люди сомневаются - это ж хорошо! Значит думают, анализируют. Потихоньку, потихоньку, да придут в осознание, что выпуски полезны, говорят обо всём открыто и насколько возможно честно и подробно.

Пaвeл Собкор
17:41:21 2017-05-26

А лучше упакуйте все DrWeb-ки "Неуёмного_Обывателя" в ваш фирменный пакет и отправьте ему по почте.

Пaвeл Собкор
17:30:47 2017-05-26

Спасибо за информацию и полезные советы. Вывод - необходимо самому соблюдать, довольно простые, правила безопасности, а не надеяться на кого то еще.

Верните Неуёмного
17:25:51 2017-05-26

Если не сложно, передайте Sasha50 и Маше по 1000 дрвебок за счет конфискованных у Неуёмного. Надо поддержать их старания.

kozinka.ru Собкор
17:19:38 2017-05-26

WannaCry заставил задуматься об ИБ очень и очень многих!
"Практика и Знания, которые компания Dr.Web, ее сотрудники и Вы даете пользователям очень важная и полезная." - подписываюсь. Спасибо вам за это!

Геральт Собкор
17:14:59 2017-05-26

Наш паучок всегда на чеку.

Masha
17:12:58 2017-05-26

@Людмила, извините за нескромный вопрос.
За комментирование 100 выпусков подряд в день их публикации, и за оценку 100 выпусков подряд в день их публикации раньше начислялось 1000 DrWeb-ок.
У меня уже более 100, но у мня ничего не прибавилось. Это правило еще действует?

Masha
17:05:36 2017-05-26

Я очень рада, что нахожусь под защитой Dr.Web! Надеюсь что и последующие угрозы нас минуют.

Анатолий
16:58:59 2017-05-26

Спасибо. Информация полезная.

Шалтай Александр Болтай Собкор
16:51:40 2017-05-26

Чтобы переплюнуть других, надо быть талантом, а не верблюдом.

Шалтай Александр Болтай Собкор
16:28:09 2017-05-26

318 выпусков "Антивирусной правДЫ!" это много! Поздравляю всех с 318 выпуском!

Шалтай Александр Болтай Собкор
16:14:05 2017-05-26

Обновляйся, закаляйся, если хочешь быть здоров!

vla_va
15:27:43 2017-05-26

Конспирология!

Sasha50 Собкор
15:24:59 2017-05-26

@Людмила, Вы написали - 318 - ый выпуск. Ого. Много уже. А кстати, за первые 100 начислялось 1000 DrWeb-ок. А на последующие 200, 300 - начисляется также по 1000?

Sasha50 Собкор
15:17:52 2017-05-26

@SGES, Ума наберешься, если среди умных потрешься.

Sasha50 Собкор
15:15:13 2017-05-26

@user, про природу хорошо сказал, завтра поеду на рыбалку.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

WannaCry: таланты и их поклонники

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей