WannaCry: таланты и их поклонники
26 мая 2017
Напомним, что WannaCry для своей работы использовал инструменты и уязвимости, которые были опубликованы группировкой The Shadow Brokers, похитившей их у Equation Group, подозреваемой в связях с Агентством национальной безопасности США.
«Эпидемия» WannaCry (именно так, в кавычках) выглядит довольно странно:
Система распространения WannaCry существенно отличается от привычных шифровальщиков, распространяющихся через почтовые спам-рассылки и тогда количество заражений пропорционально мощности рассылки. В отличие от них, WannaCry похож на финансовую пирамиду: каждый новый зараженный компьютер пытается заражать и локальную сеть, и другие интернет-адреса. Очень похоже на эпидемии начала века. Но итог! Melissa заразила 20% компьютеров по всему миру. I Love You! – миллионы ПК за несколько часов. Может быть, Интернет стал более защищенным с тех пор?
Более чем 18% пользователей работают на ПК с нелицензионной ОС Windows, у 23% отключен сервис Windows Update.
А что WannaCry? По разным оценкам – всего от 200 до 400 тысяч компьютеров.
Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.
Вы слышали от СМИ об XData (он же Trojan.Encoder.11526 в классификации Dr.Web)? Странно.
Атака затронула практически исключительно крупнейшие компании и частных пользователей – количество пострадавших компаний малого и среднего бизнеса незначительно.
Ответы партнеров «Доктор Веб» на вопрос о том, пострадали ли компании малого и среднего бизнеса из числа их клиентов (имена партнеров убраны):
M..:еще нет
А..:нет
А..:нет
В..:нет
В..:у нас вообще никто не пострадал, но все напугались :)Странно для столь мощного способа распространения? Не то слово. А вот пиар был обеспечен отменный.
Как вы считаете, почему именно этот шифровальщик был так распиарен в СМИ? Конспирология?
Вопрос в ходе вебинара для партнеров «Доктор Веб»
- Возможность расшифровки не гарантирована, так как ключи шифрования файлов, на которых пользователю демонстрируется возможность расшифровки, и всех остальных зашифрованных файлов – разные.
- Сумма выкупа (от 300 долларов США в биткойнах) – для основной массы заразившихся компаний – даже не деньги. Для многих из них факт выплаты вымогателям невозможен по причинам репутации.
Итог истории с WannaCry – огромное число публикаций в СМИ при минимуме заражений и весьма скромном заработке злоумышленников. Кому это выгодно? Неизвестно.
Но как минимум для желающих заработать были продемонстрировано следующее:
- Возможность атаковать не менее четверти компьютеров мира.
- Возможность осуществить гарантированное проникновение – не нужно полагаться на то, что пользователь кликнет по ссылке, поскольку проникший троянец автоматически получает права администратора.
WannaCry достаточно примитивен, и о его недостатках говорили мировые СМИ:
- Отсутствие перешифрования.
- Отсутствие средств маскировки от антивирусных программ.
- Уязвимая система связи с серверами управления.
Не нужен шаманский бубен для предсказания того, что должно случиться дальше.
Раз:
Исследователь Мирослав Стампар (Miroslav Stampar) обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.
С целью обмануть исследователей безопасности EternalRocks маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. Вредонос используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак.
Для связи с C&C-сервером EternalRocks использует Tor. Получив первый запрос от червя, сервер отвечает лишь спустя 24 часа отправкой файла shadowbrokers.zip. После разархивирования файла червь начинает сканировать интернет на предмет открытых портов 445. В отличие от WannaCry в коде вредоноса отсутствует вшитый адрес домена, позволяющего его отключить. На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.
Видно, что код троянца (определяемого Dr.Web как Trojan.EternalRocks.1) существенно интереснее – целых 7 используемых уязвимостей!
Два:
Уязвимость EternalBlue, использованная в шифровальщике WannaCry, была использована и в майнере криптовалюте Adylkuzz, также распространяющемся с помощью EternalBlue
Три (самый продвинутый вариант):
UIWIX является новым семейством вредоносного ПО. Как и WannaCry, вредонос эксплуатирует уязвимость в SMB, исправленную с выходом бюллетеня безопасности MS17-010. Эксплоит для нее (EternalBlue) предположительно был в распоряжении Агентства национальной безопасности США до тех пор, пока его не опубликовали хакеры из The Shadow Brokers.
Помимо эксплуатации одной и той же уязвимости, UIWIX и WannaCry больше ничем не похожи. В отличие от WannaCry, UIWIX не использует файлы – после эксплуатации уязвимости вредонос выполняется в памяти. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО. UIWIX гораздо незаметнее, чем WannaCry. Оказавшись на виртуальной машине или в песочнице, вредонос самоуничтожается. Кроме того, функция самоуничтожения срабатывает, если вымогатель попадает на компьютер в России, Казахстане или Белоруссии.
В отличие от WannaCry, UIWIX не сохраняется на инфицированной системе после перезагрузки компьютера, и в его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов. Авторы UIWIX требуют за расшифровку файлов меньшую сумму - $200, а не $300-600.
Как показал анализ кода, UIWIX способен собирать учетные данные для авторизации в браузере, сервисах электронной почты, мессенджерах и FTP.
http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php
Dr.Web классифицирует данного троянца как Trojan.Encoder.11536. В нем реализованы методы сокрытия от антивирусов, он определяет наличие виртуальных машин и песочниц для их обхода.
Станет ли использование уязвимостей новым популярным трендом проникновения? Время покажет.
#шифровальщик #Trojan.Encoder #киберпреступление #вирусописатель #обновления_безопасности #уязвимость #вымогательствоАнтивирусная правДА! рекомендует
- Cвершилось то, о чем предупреждали
большевикиспециалисты по ИБ: ставить обновления НУЖНО — для всего ПО, установленного на компьютере. Кому не лень, может посчитать, сколько раз мы писали об этом в «Антивирусной правде». Потому что если не обновляться, картина может быть, например, такая:Результат атаки троянца-шифровальщика, фото взято с http://www.securitylab.ru/blog/personal/Morning/341825.php
Мы неоднократно писали, что публикация уязвимостей – это зло, так как, хотя к ним и выпускают патчи, пользователи их не устанавливают. Причем не устанавливают от слова «совсем». Об этом известно и злоумышленникам!
Мой текущий личный ноут, работающий на «Windows 7 Домашняя расширенная», разного рода патчи устанавливает автоматически, когда я его выключаю...
Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?
Вопрос журналиста в пиар-службу «Доктор Веб»
Часто сразу после публикации уязвимостей (и выпуска патчей) начинаются массовые атаки хакеров или скрипт-кидди – «умельцев», которые сами они не могут разрабатывать/искать уязвимости и пользуются результатами чужого «труда».
Если бы у всех были установлены патчи – ни один из вышеперечисленных троянцев никогда бы не постучался в вашу дверь.
У меня тесть поймал... Играл в Танчики онлайн, отошел чаю налить и подошедши к компу обнаружил окно шифратора и сообщение что все зашифровано.
Сообщение участника вебинара для партнеров «Доктор Веб»
- Отключайте все ненужные сервисы. Чтобы атака WannaCry стала невозможной, можно было даже не устанавливать патчи, а просто выполнить одну системную команду! Кстати, рекомендация об отключении SMBv1 опубликована еще в 2016 году, Карл!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
16:33:47 2018-10-31
Денисенко Павел Андреевич
13:35:20 2018-08-05
Неуёмный Обыватель
01:29:04 2018-07-03
alex-diesel
14:36:07 2018-04-18
удивительно, сколько вроде бы грамотных людей ими пренебрегают...
vasvet
20:45:42 2018-04-05
mariana
08:18:06 2017-05-30
forrus
22:54:07 2017-05-29
bob123456
19:53:39 2017-05-29
AntonIT
12:51:11 2017-05-29
Вячeслaв
09:59:19 2017-05-29
Littlefish
23:33:13 2017-05-28
bob123456
12:22:48 2017-05-28
eaglebuk
11:25:30 2017-05-28
lev
06:20:24 2017-05-28
razgen
01:08:51 2017-05-27
razgen
01:06:46 2017-05-27
Б...а
23:48:29 2017-05-26
Luger
23:37:38 2017-05-26
bob123456
23:24:18 2017-05-26
solec
23:22:23 2017-05-26
bob123456
23:18:16 2017-05-26
iAFC
22:18:15 2017-05-26
Мне кажется что цифры занижены.
Любитель пляжного футбола
22:12:32 2017-05-26
P.S. Необычно видеть такое на табло на ж/д вокзале. :)
kva-kva
21:40:19 2017-05-26
mk.insta
20:43:41 2017-05-26
orw_mikle
20:28:30 2017-05-26
dyadya_Sasha
20:22:24 2017-05-26
ek
20:12:49 2017-05-26
dyadya_Sasha
20:06:47 2017-05-26
Заставил задуматься и потенциальных охотников и потенциальных жертв.
НинаК
19:43:36 2017-05-26
B0RIS
18:35:35 2017-05-26
В...а
18:06:20 2017-05-26
Людмила
17:52:05 2017-05-26
Принцип "отобрать и поделить" не умирает? нет. мы уже это проходили
Людмила
17:50:26 2017-05-26
с вашими наградами будем разбираться в понедельник, когда выйдет из отпуска разработчик проекта.
a13x
17:45:29 2017-05-26
Пaвeл
17:41:21 2017-05-26
Пaвeл
17:30:47 2017-05-26
Верните Неуёмного
17:25:51 2017-05-26
DrKV
17:19:38 2017-05-26
"Практика и Знания, которые компания Dr.Web, ее сотрудники и Вы даете пользователям очень важная и полезная." - подписываюсь. Спасибо вам за это!
Геральт
17:14:59 2017-05-26
Masha
17:12:58 2017-05-26
За комментирование 100 выпусков подряд в день их публикации, и за оценку 100 выпусков подряд в день их публикации раньше начислялось 1000 DrWeb-ок.
У меня уже более 100, но у мня ничего не прибавилось. Это правило еще действует?
Masha
17:05:36 2017-05-26
Анатолий
16:58:59 2017-05-26
Шалтай Александр Болтай
16:51:40 2017-05-26
Шалтай Александр Болтай
16:28:09 2017-05-26
Шалтай Александр Болтай
16:14:05 2017-05-26
vla_va
15:27:43 2017-05-26
Sasha50
15:24:59 2017-05-26
Sasha50
15:17:52 2017-05-26
Sasha50
15:15:13 2017-05-26