17 мая в 20:39

WannaCry vs. Adylkuzz: кто кого опередил?



Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.

Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.

Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.

Как удалось поймать Adylkuzz


В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.

Как распространяется Adylkuzz


Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Несмотря на то, что вирус не требует вознаграждение за расшифровку файлов, а тихо майнит «денежку», назвать его разработчиков благородными всё же сложно — компьютер продолжает находиться в составе ботнета. Как он поведёт себя в будущем, не известно.

Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?

UPD, появился полный перевод статьи Proofpoint о том, как они обнаружили Adylkuzz.
Медников Степан @steff
карма
47,4
рейтинг 23,2
Пользователь
Самое читаемое Администрирование

Комментарии (39)

  • +1
    Стилистическое:
    Благородные разработчики Adylkuzz пошли другим путём…
    ..., всё же сложно назвать вирусописателей благородными :-)


    Сложно, но можно :)
    • +2

      А ещё можно вспомнить червя, который пачтил компьютеры защищая их от других червей.

    • 0
      Поправил, спасибо
  • +1
    Более полное исследование (но на английском, правда) с практическими выводами.
    https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
  • +1
    И как же выяснить, заражён ли компьютер?
    • +1
      По аномальной нагрузке на процессор\видеокарту?
      • +2
        пфф. так мы и svchost системный в лютые вирусы записать можем
        • +1
          Я же говорю про аномальную, а не про нормальную. Если svchost системный и нагружает проц — надо смотреть по ID процесса, какие службы его задействуют. Скорее всего, это служба обновления. Реже что-либо ещё. Но в любом случае, полезно знать, какая служба даёт нагрузку, чтобы сделать что-нибудь с этим.
          И мы же говорим про способы обнаружения майнера — а анализ запущенных процессов и служб вполне может дать эту информацию.
          • +1

            ID процесса в случае svchost много не скажет. А вот по ID потока можно найти виновника довольно точно...

            • +1
              Диспетчер задач вроде не умеет в id потока? Это уже сторонний софт нужен.
              • +1

                Да, тут нужен Process explorer

                • +1
                  Ну это уже уровень знаний, когда вероятность заразиться майнером или чем ещё стремится к нулю.
                  • +3
                    Интересно, каким образом знания могут защитить от зеродеев в штатных функциях ОС?..
                    • +1
                      Знания помогут не подцепить малварь. От зеродеев застрахован только Неуловимый Джо.
                      Ну и те, кто регулярно ставит обновления — есть шанс, что в случае эпидемий их не затронет.
  • +2
    Майнер проще выколупать из системы, нежели безвозвратно(в большинстве случаев) потерять инфу от шифровальщика.
    • +2
      Да можно его и оставить на время, за то что защитил, пусть и дальше защищает от шифровальщика.
      А небольшая плата в виде майнинга вполне приемлема.
      • +1
        О таком варианте я даже и не подумал :)
      • +1
        Довольно нелогично. Если есть навыки и возможности выколупать майнер, то почему бы попутно не пропатчить уязвимость?
        • +1
          Ну уж если на то пошло безопасностью надо заниматься постоянно, на всех уровнях.
          Тогда не будет ни шифровальщиков, ни майнеров.
          Многие же домашние пользователи даже антивирус не ставят, т.к. «ТОРМОЗИТ».
          Пусть уж лучше у них тогда майнер работает, хоть файлы не зашифрует.
          • +1
            Пока в метро у человека не вытащат из заднего кармана деньги, он так и будет их там носить. То же самое с безопасностью. Пока все работает и нет убытков, безопасностью занимается меньшенство.
            • +1
              Не согласен, все зависит от человека.
              У меня кошелек не вытаскивали ни разу — а все потому что я его не ношу в заднем кармане.
              Знакомый же, который поймал шифровальщика «принципиально не ставит антивирус» по каким-то своим убеждениям.
              • +2
                По-моему от WanaCry антивирусы не очень то спасли.
                • +1
                  Панда утверждает что она спасает.
                  У меня статистики нет.
                  Потом — есть другие бастионы защиты, например выходить в инет через роутер с закрытыми портами и соблюдение внутренней чистоты.
                • +1
                  Ну теперь-то они его знают и обещают детектировать.
                • +1
                  Ну, может какие-то и спасли
  • +2
    А сколько вирусов борятся за место под солнцем на твоем необновленным компе?
    • +1
      С чего бы? Обновы это далеко не панацея и не единственный уровень защиты.
  • +1
    Т.е. по ходу МС тут надо было не патчи делать, а делать вирус, который именно и закрывает дыру.
    • +1
      А зачем им это? Их основная цель сейчас — пересадить людей на Win10 для увеличения количества продаж (за счет WinXP+) и уменьшения издержек на поддержку Win7+.
      • +1
        10-ка тоже подвержена
        • +2
          1703 ужо нет.
      • +1
        Ну так могли впарить инсталлер Win10 таким образом.
    • +1
      Механизм автораспространения обновлений у них и так есть.
      По крайней мере у тех, кто не отключил его.
  • +1
    Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации


    Чего то я недопонимаю. Если там есть предыдущая копия, то SMB заблокировано. Как он тогда попадает на компьютер?
    • +1
      Это если упрямый пользователь снова SMB разблокировал, наверное.
    • 0
      Хороший вопрос :-) Возможно, «чтобы обеспечить выживаемость» вирус в любом случае выполняет эти действия.
  • +2
    Майнеры не влияют на капитализацию. По крайней мере в такой популярной криптовалюте, как Монеро. Просто вирусописец нашел себе хороший способ заработать на своем ремесле.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.