12 мая в 22:21

Ransomware day: массовое заражение Wana Decrypt0r


 
Более 60.000 компьютеров подверглись атаке и заражению вирусом-вымогателем Wana Decrypt0r. Авторы Wana Decrypt0r используют эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1 (MS17-010) для доставки вредоносного кода на Windows системы. Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.


Группа экспертов по кибербезопасности MalwareHunterTeam утверждает, что больше всех в результате атаки пострадали серверы на территории России и Тайваня. Под ударом оказались и другие страны: Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины.



Microsoft закрыла эту уязвимость в марте. Но, видимо, не все успели обновить свои системы. Карту заражений в реальном времени можно наблюдать здесь: https://intel.malwaretech.com/botnet/wcrypt


Защитные меры


В качестве средств защиты рекомендуется срочно обновить Windows системы (если вы этого еще по каким-то причинам не сделали), использовать средства обнаружения и блокирования атак — firewall и т.д.


Например это можно сделать с помощью следующих команд:


netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"



UPD: Анализ шифровальщика Wana Decrypt0r 2.0

Автор: @LukaSafonov
Pentestit
рейтинг 733,39
Информационная безопасность

Комментарии (48)

  • +15
  • +2

    Команды в конце статьи переформатируйте, пожалуйста, как код:


    ```
    код
    ```

    А то сейчас там, например, автозамена кавычек на «» происходит, вряд ли вы это имели в виду.

    • +2
      Спасибо, поправил.
    • 0
      У меня при вставке в консоль кавычки заменились на <> ```name=<Block_TCP-135>```, но все сработало.
  • +1
    в англоязычных источниках пишут, что взломщики используют ограниченное множество bitcoin-адресов. как они определяют, кто заплатил, а кто — нет?
    судя по blockchain.info (раз, два, три), умельцы обогатились, лол.
    • –3
      ходят слухи что всем уникальную сумму выстовляет. ну и так-же можно с авторами связаться, там специальная конопочка есть
      • 0
        Сумма у всех $300.
        • 0
          В биткоинах получается разная.
          • +1
            Да, но она привязана к курсу биткоина, а не к конкретному компьютеру.
    • +4

      А зачем им определять, кто заплатил а кто нет? Только не говорите, что они заплатившим что-то расшифровывают.

      • +1
        Ну, для них это сложностей не составляет а шанс что остальные заплатят повышает
  • +9
    Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

    Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

    Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

    #WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
    — Darien Huss (@darienhuss) May 12, 2017

    Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

    I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
    — MalwareTech (@MalwareTechBlog) May 13, 2017

    Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

    https://meduza.io/news/2017/05/13/rasprostranenie-virusa-vymogatelya-udalos-priostanovit-blagodarya-registratsii-domena-iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea-com
    • 0

      Если это правда — очень круто!

  • –9
    Один я сижу на win без антивирусника и никогда не видел вирусов?
    • +2
      Не один. Но это не повод.
    • +13
      То что вы не видите вирусов, увы, не значит, что у вас их нет.
      • +2
        Эта фраза относится и к антивирусам. Антивирус может писать «Вирусов нет» на завирусованной машине, если вирусы ему не знакомы или если троян сидит на уровне ядра ОС или выше.
      • –1
        Ну, если бы я страдал параноидальным расстройством и пересмотрел фильмов аля «матрица» и «хакеры» или же попросту страдал херней как большинство комментаторов здесь — то да вирусы видел бы во всем :) 15 лет работы от 98 до 10 окон и ни одной заразы в глаза не видел. имхо — если у человека мозга нету, то и антивирусник не поможет.
    • 0
      А Windows Defender у Вас, что отключен?
      • 0
        Не знаю уж, как у al5dy на компьютере, но в оследние несколько лет у меня на всех личных компьютерах он отключен сразу после установки, просто потому, что он за предыдущий опыт использования имел свойство неслабо тормозить систему при проверках, блокировал кейгены и актииваторы и при этом ни разу не выдал ни одного дельного предупреждения.
        • 0

          Антивирус микрофост у родителей пропустил локер. Купил дрвеб, вроде поспокойнеет стало

        • 0
          Да, отзывы о нем до прошлого лета были плохие, он, кстати, антивирусом формально и не был. Но по отзывам в 10 версии Windows всё поменялось, Defender стал полноценным антивирусом, уже предустановленным в системе с обновлением сигнатур и т. п., я например, от Каперского пока отказался в его пользу.
        • 0
          блокировал кейгены и актииваторы

          А без воровства жить не пробовали?
          • 0
            блокировал кейгены и актииваторы
            Мда, даже не дочитал до этого момента, по диагонали потому что… Ощущение, что ты украл, наверное у товарищей способствует улучшению настроения, потенции и т. п… На самом деле не понимаю, сейчас красть нормальному человеку ничего не нужно (да так и всегда, наверное, было)
            Кстати, братаны, не впадлу кому, кейгены для Blender, Gimp, Inkscape, ну дайте, что ли, так хочется попробовать…
      • 0

        У меня отключен дефендер, брандмауер, юак, есть внешний ип работаю под админом, и не разу не ловил не 1 вируса с выхода вин 7, и не совсем понимаю почему заминусили чела, я согласен что если ты хоть чуть чуть шаришь как попадают вирусы то можно смело всё отключать.

        • 0
          Может вы ещё и обновления не ставите? Последний штрих к портрету так сказать.
    • –1
      на win без антивирусника

      никогда не видел вирусов

      Логично.

  • –2
    Я, конечно, сочувствую жертвам, осуждаю преступников и всё такое, но в целом я считаю это событие весьма положительным в долгосрочной перспективе, потому что когда обыватель, бизнесмен, чиновник выложит наконец из своего кармана деньги за то, что АНБ видите ли «эффективно» «боролась» с «терроризмом», он наконец поймёт о чём говорил Сноуден, сопоставит собственное положение, в том числе материальное, с приватностью, безоговорочной защитой данных и т.д.

    А это, в свою очередь, может послужить толчком к подвижкам общественного мнения, особенно в США — родине АНБ, и в итоге может привести к новому цифровому законодательству, которое положит конец (или, по крайней мере, выведет за рамки закона) подобную деятельность по «защите» граждан.

    Надеюсь это всем послужит уроком
    • +2
      Вы предлагаете запретить искать дыры в приложениях? Или я неправильно вас понял…
      • 0
        Мне кажется, что не лишены оснований опасения, что многие такие удачные дыры оставлены разработчиками по прямому указанию спецслужб
        • 0
          Это вряд ли. Зачем бы тогда они раскрывали детали уязвимости и выпускали исправления?
          При чём там же не какая-то хитро спрятанная дырка. А обычный buffer overflow.
          • 0
            Так если известно об уязвимости, то будет подозрительно не выпустить обновление.
            К тому же они могли хакнуть сервера M$ и добавлять дыры в исходники напрямую, либо найти человека в M$, который их добавит.
  • –3
    Интересно, чем криптует? Может быть имеет смысле запрещать крипторы без админских прав запускать? Слишком много использующих их малваря стало.
    В эту 'волну' не попали, но 'подцепили' криптор по почте. Где-то года два назад.
    • +1
      Коментарии к минусам будут, или, традиционно, фига в кармане?
      • 0

        Я не голосовал, но полагаю, что у вас как-то слишком непонятно идея изложена.
        Что такое "криптор"? По-вашему, все модификации шифровальщиков используют одну и ту же утилиту для шифрования?
        Практика показывает, что нет: для зашифровывания файлов использовались и функции WinAPI (ну или что-то подобное), и свободно распространяемая утилита GPG, и самописные алгоритмы.
        Что из перечисленного вы предлагаете "запретить запускать" и — самое интересное — как вы планируете определять в случае самописной реализации алгоритма, что она производит шифрование, а не какую-то другую легитимную операцию?

        • –1
          Часто, насколько я знаю, шифровка идёт 'обычными' шифровщиками — то есть крипторами. То есть — распознать сам шифровщик как малварь часто не представляется возможным потому, что шифровщик не является малварем. А вот 'обвязка' — является. В нашем случае было так: малварь (скрипт) выкачал локально 'обычный' шифровщик и им покриптовал документы. Так вот. Я предлагаю их эвристически распознавать (как те же инсталляторы) и запускать под админскими правами. Это бы тотально ограничило проблему.
          • 0

            Тут я с вами не соглашусь: на мой взгляд, это происходит не часто, а редко; в основной же массе криптовымогатели используют собственный исполняемый файл, уникальный для каждой атаки. Соответственно и запретить его нереально.
            Запрет легитимных программ для осуществления шифрования может слегка улучшить ситуацию, но к тотальному решению проблемы, ИМХО, и близко не подведёт.

      • +1
        Минусы не мои, но рискну предположить, что «запрещать крипторы» на практике нереализуемо иначе как через «запрещать любой код не из вайт-листа, потому что хрен ты иначе поймёшь, шифрует он там чего или не шифрует». Ну и вообще на любую борьбу с криптографией на хабре традиционно реагируют нервно.
  • 0
    Не понимаю, установленный антивирус Comodo Internet Security на Win 7 с заблокированными всеми портами и ручным прописанием доступа на программы в интернет достаточно?
    • 0

      Думаю, нет — если пользователь сам запустит полученный по почте или скачанный из Сети файл.

  • 0
    Меня смущает фраза «для доставки вредоносного кода на Windows системы». Т.е. можно просто выйти в интернет со свежеустановленной Win 7 без мартовских апдейтов и получить шифровальщик на шару? Без регистрации и смс, без открытия письма от «контрагента», запуска исполняемых файлов, батников и прочего?
    • +2
      Выходить не нужно, достаточно открытого в инет порта SMB.
  • –1
    Да это просто ужас какой то эти вымогатели повсюду, я даже не знаю что делать защиты не помогают, везде где смотрю мало толковых советов, но вот вчера наткнулся на как раз на пост на пирлист — правад на английском https://www.peerlyst.com/posts/the-world-is-under-attack-from-the-most-damaging-malware-ever-spreads-using-nsa-vulnerability-claus-cramon?trk=search_page_search_result — там обычно такое одни из первых выкладывают, так начал лазить, как раз и нашел пару дельных советов. Надо бизнес аккаунт от microsoft купить и сделать туда резервные копии, а так как историю файлов он запоминает автоматом, потом нет никакой проблемы вернуть файлы обратно.
  • 0
    Кашмарский проанализировал утечку и перечислил патчи, причём, это было
    давольно-таки давно уже:

    http://support.kaspersky.com/shadowbrokers

    И список пропатченых уязвимостей довольно большой

    Видимо, надо ожидать ещё модификаций шифровальщиков
    семейства не только WannaCry WannaDecrypt0r Ransom:Win32.WannaCrypt EternalRomance

    но и эксплуатирующие другие (следующие) уязвимости из списка АНБ

    а потом дойдёт очередь и до iPhone/Android
  • 0
    Вообще ценовая политика у вирусопейсателей непонятная, опросил наших бухгалтеров, говорят за 300 баксов лучше уволятся, а если рублей 100-200 сделать то заплатить и забыть, все равно сами виноваты. В итоге они получается собрали скажем 300$*1000 богатеньких, а могли бы 1000000*100руб не напрягаясь.
    • 0

      Могли бы, если бы давали декриптор. А дают ли?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка