Атака программы-вымогателя нанесла ущерб многим компаниям и организациям по всему миру, включая испанскую телекоммуникационную компанию Telefonica, больницы в Великобритании и американскую компанию доставки FedEx. Вредоносная программа, относящаяся к классу криптовымогателей, стала известна как «WannaCry».

Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. После чего он требует перечислить какое-то количество биткойнов за расшифровку.

В связи с этой атакой, всем организациям рекомендовалось убедиться, что на их компьютерах, работающих на Windows установлены последние обновления. Также на них должны быть закрыты порты 139 и 445 для внешнего доступа. Порты используются протоколом SMB.

Также надо отметить, что угроза все еще активно исследуется, так что ситуация может меняться в зависимости от реакции злоумышленников на действия специалистов по компьютерной безопасности.

ДЕТАЛИ КАМПАНИИ

Мы наблюдали всплеск при сканировании наших «интернет-приманок», который начался почти в 5 утра по EST (9 утра по UTC).

image

ИНФРАСТРУКТУРНЫЙ АНАЛИЗ

Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час (прим. перев.: видимо, речь идет о запросах на их сервисе).

image

Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.

Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда:

image

Приведенный выше код делает попытку GET-запроса к домену и, в случае неудачи, продолжает распространение. Если запрос удачный, то программа завершается. Сейчас домен зарегистрирован на известную DNS воронку, что заставляет прервать зловредное действие.

От переводчика: C&C домен специально был зарегистрирован, согласно твиттеру компании MalwareTech, чтобы остановить или приостановить распространение малвари.

АНАЛИЗ ЗЛОВРЕДА

Изначальный файл mssecsvc.exe запускает другой файл с названием tasksche.exe. Затем проверяется домен-выключатель, после чего создается служба mssecsvc2.0. Эта служба исполняет файл mssecsvc.exe с иной точкой входа, нежели во время первого запуска. Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети. Когда зловред успешно подключается к удаленной машине, то устанавливается соединение и происходит передача данных. Судя по всему, где-то в процессе этой передачи используется известная уязвимость, которая была закрыта обновлением MS 17-010. На данный момент нету полного понимания трафика SMB, и при каких именно условиях зловред может распространяться, используя дыру в безопасности.

Файл tasksche.exe проверяет все диски, а также расшаренные по сети папки и подсоединенные устройства, которые привязаны к буквам, вроде 'C:/', 'D:/' и т.д. Малварь затем ищет файлы с расширениями, которые перечислены в программе (и приведены ниже), и шифрует их, используя 2048-битное RSA шифрование. Пока файлы шифруются, создается папка 'Tor/', куда кладется файл tor.exe и 9 файлов dll, которые он использует. Дополнительно создаются taskdl.exe и taskse.exe. Первый из них удаляет временные файлы, а второй запускает @wanadecryptor@.exe, который показывает пользователю окно с требованием заплатить. Файл @wanadecryptor@.exe отвечает только за вывод сообщения. Шифрование файлов происходит в фоне с помощью tasksche.exe.

Файл tor.exe запускается с помощью @wanadecryptor@.exe. Этот новый процесс начинает соединение с узлами Tor. Таким образом WannaCry сохраняет анонимность, проводя весь свой трафик через сеть Tor.

Что типично для программ-вымогателей, программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe

image

WannaCry использует различные способы, чтобы помочь своему выполнению. Так оно используется attrib.exe, чтобы менять флаг +h (скрытие), а также icacls.exe, чтобы дать полные права всем юзерам: «icacls. /grant Everyone:F /T /C /Q».

Примечательно, что программа имеет модульную архитектуру. Вероятно, что все исполняемые файлы в ней написаны разными людьми. Потенциально, это может значить, что структура программы может позволять запускать различные зловредные сценарии.

После завершения шифрования, вредоносная программа показывает окно с требованием выкупа за файлы. Интересный момент заключается в том, что окно является исполняемым файлом, а не картинкой, файлом HTA или текстовым файлом.

image

Жертвам следует понимать, что не существует обязательства преступников действительно предоставить ключи для расшифровки после оплаты выкупа.

КАК БОРОТЬСЯ

Для борьбы с данным зловредом есть две рекомендации:

  • Убедиться, что все компьютеры, использующие Windows имею последнее обновление. Как минимум, обновление MS17-010.
  • В соответствии с лучшими практикам, любая организация, в которой публично доступен SMB (порты 139, 445), должны немедленно заблокировать входящий трафик

Индикаторы поражения

Имена файлов:

  • d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
  • 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
  • e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
  • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
  • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
  • 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

Используемые IP:

  • 188[.]166[.]23[.]127:443
  • 193[.]23[.]244[.]244:443
  • 2[.]3[.]69[.]209:9001
  • 146[.]0[.]32[.]144:9001
  • 50[.]7[.]161[.]218:9001
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

Расширения, шифруемых файлов:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

> Источник
Поделиться с друзьями
-->

Комментарии (67)


  1. GH0st3rs
    13.05.2017 12:39
    -2

    Не самая на мой взгляд обширная статья для перевода.


    1. Kirylka
      13.05.2017 13:31
      +6

      Лучшее, что я нашёл в 2 часа ночи. Хотел оперативней сделать, пока тема горячая, учитывая, что нужно было ещё пройти модерацию.


  1. worldxaker
    13.05.2017 13:02

    с локалкой то все ясно, а как оно по интернету ходит?


    1. aliksend
      13.05.2017 14:49

      публично доступен SMB (порты 139, 445)

      вероятно речь про проброс портов


  1. Artiomtb
    13.05.2017 13:20
    -17

    Удивлен, что в серьёзных организациях на важных для бизнеса машинах (сервера/БД) используется ОС windows.
    Ну хоть будет уроком на будущее.


    1. worldxaker
      13.05.2017 13:39
      +8

      проблема даже не в винде, а в том что она не обновляется месяцами ато и годами


    1. GH0st3rs
      13.05.2017 14:02
      +1

      Ещё больше удивитесь в том как вообще это всё работает, если заглянете в такую сеть))


    1. aga872
      13.05.2017 18:05
      +1

      Удивлен, что в серьезных организациях на важных для бизнеса машинах не установлена обновление которому уже месяц.


      1. AllexIn
        13.05.2017 19:34
        +5

        После того, как с десяткой трэш и угар творился — у людей, и тем более компаний, аллергия на установку свежих обновлений.


        1. Ded_Keygen
          15.05.2017 19:31
          -2

          Если люди сами не могут поставить нужные и запретить установку не нужных обновлений — то должны обратиться для этого к специалистам.
          А если специалист считает, что обновления для софта (особенно если это Windows, но к *nix или ios это тоже относится) ставить не нужно — то это не специалист.


          1. aga872
            18.05.2017 11:55

            Я помню как-то был пик зараженности с вирусом передающимся по флешкам, годков эдак 4-5 назад. Честно говоря не помню как он назывался, кажется он подражал системному файлу с раскладкой клавиатуры. У меня, на тот момент, было под аутсорс обслуживанием 200+ пумпуртеров в 20 средних-мелких компаниях(кто обслуживал такое понимает батхерд разнообразия), и ни один не был заражен! Да, я мухлевал — ставил пробные антивирусы, дефендеры виндоус, делал обновления в компаниях не покупавших ос для бизнеса, но не было ни одного заражения! Почему? Потому что даже примитивные антивирусы его ловили и майкрософт исправил баг за пару недель до пика активности вируса.
            И вывод, как и в сегодняшней проблеме, простой — виновником проблем с пумпуртерами в 99,1% является рукожопство «админя», а вовсе не «проклятые мелкомягкие».


      1. boldarli
        15.05.2017 19:32

        У Вин про есть даже галочка «отложенные обновления», чтобы не сразу обновлять, а попозже, вероятно, чтобы избежать неловких ситуаций, когда после обновления все поломалось и не работает. Плюс нельзя в серьезной огрганизации взять и накатить обновление, сначала надо все стопицот приложений протестировать, что не поломаются.


        1. aga872
          18.05.2017 11:29

          Вы правы. В Вин есть такая галочка, а в WSUS давно есть такая функция. Но МЕСЯЦ Карл! С момента решения проблемы прошел не день, ни два, ни неделя а МЕСЯЦ!
          Я вижу только одну проблему — человеческий фактор. Почему? Потому что на примитивный запрос «защитник виндовс WannaCry», даже сейчас, в тренде идет ссылка на «Как отключить Защитник Windows и убрать иконку Защитника в ...». ИМХО это показатель


    1. Ghool
      13.05.2017 20:09
      +1

      MS Office и Windows является стандартом.
      Чему удивляться?


      1. d1f
        14.05.2017 08:00
        -1

        > MS Office и Windows является стандартом.

        ГОСТ не подскажете?
        Ну или ISO хотя бы.


        1. Ghool
          14.05.2017 10:10
          +1

          Скорее уж rfc, я де о всём мире говорю, а не только о рф

          А по сути — дефакто это так
          Статистику по бизнесу я не нашёл, но общемировая статистика говорит, что я прав
          http://www.itrew.ru/windows/statistika-operacionnykh-sistem-za-ap.html


    1. Parafoil
      15.05.2017 00:08

      Я скажу больше) в серьезных организациях лоббируют микрософт-продукты, по «причине» снижения расходов на спецов. Дешевле нанять школьника с сертификатами на право расстановки галочек в гуи, чем держать дорогого и грамотного спеца. Ну и финпроекты дорогие) Сам свидетель нескольких отказов руководства от уже стабильных и налаженных unix-систем.


    1. Artiomtb
      15.05.2017 10:25
      -1

      Ребят, а зачем дизлайкать? Разве в данной ситуации не очевидно, что windows системы куда более уязвимы, чем unix?


      1. freeart
        15.05.2017 11:45

        А смысл этого вируса под linux/unix desktop? Уязвимость где угодно можно найти, был бы смысл. Ну заразят ubuntu (и все клоны) desktop, например, через найденую уязвимость — это будет 1% всех пользователей пк. Имел бы линукс десктоп такой же процент пользователей, как сейчас на винде — было бы такое же количество вирусов под линукс.


        1. AllexIn
          15.05.2017 11:58

          А почему вы о десктопе говорите?
          Заражать сервера разве не выгодно?
          Почему нет вирусов для заражения серверов?


          1. MacIn
            15.05.2017 17:44

            Типовые сценарии — вымогательство шифровальщиком денег или кража аут. данных с последующей кражей денег со счетов. Шифрование данных — чем шире охват, тем лучше, больше прибыль. Деньги с личных счетов на серверах не переводят. Квалификация среднего «оператора» тоже позволяет на десктопе себя вольготнее чувствовать всякой дряни. Остается какой-нибудь промышленный шпионаж, целевая кража данных, это тоже мизерный сегмент.


          1. cagami
            16.05.2017 04:20

            вы сейчас, это серьезно?
            https://en.wikipedia.org/wiki/Linux_malware


        1. Artiomtb
          15.05.2017 12:20
          -5

          Архитектура UNIX систем более устойчива к вредоносному ПО — не получится так просто взять и без ведома пользователя (и без sudo) переписать важные для работы системы файлы. Так что тут вопрос не только в количестве пользователей.


          1. MacIn
            15.05.2017 17:45
            +2

            В NT мире тоже есть, знаете ли, разграничение по правам доступа к файлам.


          1. AllexIn
            15.05.2017 18:59
            +5

            Вы хоть сами понимаете насколько ваше утверждение ложно?
            sudo по сути не даст вам никакой защиты.
            Ну отлично, после шифровальщика у вас сохранятся все системные файлы! Они ж такие ценные, ведь система аж 20 минут с нуля устанавлвиается!
            А вот все пользовательские данные будут благополучно зашифрованы без всяких рут прав.


          1. Diverclaim
            15.05.2017 19:31
            +2

            И чем же она более устойчива? Разве в винде без прав администратора можно переписать важные для системы файлы? Если уязвимость в процессе который работает с повышенными правами, то и remote code execution будет с повышенными правами. Это одинаково и в линуксе и в винде.


            К тому же криптор не переписывает важные для системы файлы. Как раз таки система должна работать исправно (чтобы отобразить шантажное сообщение). Криптор шифрует пользовательские файлы (курсачи, фоточки, базы mysql и т.д.)


  1. kvaps
    13.05.2017 15:44

    Еще некоторая информация продолжает собираться в этом Gist'е:
    https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168


  1. xtala
    13.05.2017 15:58

    Жесть какая-то. У меня Win 10 с автоматическими обновлениями поэтому пронесло, аминь. Но в виртуалбоксе стоит Win 7 для тестов, естественно сто лет в обед не обновлялась, у виртуального хоста есть доступ к интернет (через роутер по кабелю) Мне интересно, если виртуалка заразиться, то зараза может из гостевой ОС перекинуться в основную?


    1. Suvitruf
      13.05.2017 16:06

      Виртуалка для этой заразы ничем от основной оси не отличается, если порты проброшены.


    1. navion
      13.05.2017 16:27

      то зараза может из гостевой ОС перекинуться в основную?

      Эта не сможет, но дыры в ПО для виртуализации периодически находят.


      1. mwizard
        13.05.2017 17:32
        +1

        Сможет, если директории родительской операционки расшарены в гостевой. Этой штуковине все равно, что шифровать, т.к. оно умеет шифровать сетевые шары.


    1. plartem
      13.05.2017 18:04

      только из-за уязвимостей в виртуалбоксе


    1. Eugene_Burachevskiy
      13.05.2017 18:05

      так остановили же уже распространение малвари этой сегодня

      https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html


      1. Kirylka
        13.05.2017 18:09

        Да. Причем почитайте твиттер — сделали это случайно :D

        От переводчика: C&C домен специально был зарегистрирован, согласно твиттеру компании MalwareTech, чтобы остановить или приостановить распространение малвари.


      1. lostpassword
        13.05.2017 20:15
        +1

        Остановили распространение этой модификации.
        В понедельник выйдет новая версия, с другим доменом. Или вообще без стоп-домена — зачем он?
        Так что только патчиться.


        1. Eugene_Burachevskiy
          15.05.2017 13:50
          -1

          Да, вобщем-то писали, что зачастую для предотвращения реверс-инжениринга малвари используют проверку по нескольким случайно сгенерированным доменным именам. И если все они резолвятся с одного айпишника, то значит малварь запущена в сендбоксе и тогда она не выполняется. Проверять по одному домену к тому же хардкодить его было слегка глупо со стороны разработчиков)


  1. vko
    13.05.2017 17:54

    А есть утилита для расшифровки файлов?


    1. Kirylka
      13.05.2017 17:54
      +1

      Нет. И, кажется, не предвидится.


    1. GrandLeak
      13.05.2017 18:12

      Походов и вправду не предвидится пока сам создатель не «сольет» мастер-ключ.


      1. solver
        14.05.2017 13:43

        Нет у таких вымогателей мастер ключа уже давно. Сейчас у каждого компа свой ключ.
        Поэтому и расшифровщика не будет.


  1. slava2017
    13.05.2017 17:55
    +2

    Мне уже пошли ставить обновление на XP, Microsoft подсуетился. :D


    1. MacIn
      13.05.2017 21:28
      +2

      Кстати, да, в виде исключения они выпустили Security Update на XPшку тоже. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/


    1. sergiusl
      14.05.2017 20:48

      А где взять обновление на XP?


      1. slava2017
        14.05.2017 21:50

        http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


  1. GrandLeak
    13.05.2017 17:55

    Везде пишут что используется EternalBlue для заражения, и заражаются все версии без патча. Но он же работает только на Windows 7 и Windows Server 2008, разве нет? Или у них свой софт?


    1. Kirylka
      13.05.2017 17:56

      Кажется, там EternalBlue используется в том числе, то есть используются и другие дыры.


  1. pr0l
    13.05.2017 17:55
    +3

    судя по расширениям файлов, червяк писали не «русские» так как 1cd не указан в списке…


    1. Zverienish
      14.05.2017 10:59

      удалено


  1. ploska4
    13.05.2017 17:55
    +1

    А создатель зловреда держит слово? Происходит ли расшифровка файлов после оплаты? :)


    1. GrandLeak
      13.05.2017 18:10
      +1

      По крайней мере он держит слово насчёт удалении файлов после того как срок оплаты истечет: https://twitter.com/laurilove/status/863116900829724672


  1. Idot
    13.05.2017 18:01
    -1

    зашифровывая файлы, которые на них находятся. После он требует перечислить какое-то количество биткойнов за расшифровку.

    В России уже ввели обещанную уголовку за использование Бит-Коинов?


    1. Idot
      14.05.2017 10:26

      Поясню свой вопрос: того кто заплатит выкуп в биткоинах вымогателю, не посадят за "незаконный оборот денежных средств"?


      1. slava2017
        14.05.2017 10:51
        -1

        Биткоины не деньги, на них права через суд не докажешь, так что какие-такие незаконные обороты.
        Махинации с виртуальными денежными знаками и имущественными правами в виртуале если и принимаются расследовать, то расследуют как мошеннические действия, направленные на хищения реальных средств.
        Банки легко подают в суды, в случае поимки авторов вирусных атак. Информации, об удачных исках на возмещение ущерба частных лиц, не попадалось.


      1. worldxaker
        14.05.2017 10:53

        нет. биткоин пока не запрещен. но по последним действиям его скорее всего легализуют


    1. A1ejandro
      14.05.2017 20:49

      Вы всё проспали. «В России полностью отказались от идеи вводить уголовную ответственность за изготовление и использование виртуальных денег. При этом в августе прошлого года на Новом Арбате даже появился первый обменный пункт виртуальных денег. Сейчас в обменнике доступны только операции по продаже биткоинов, а обмен проводится исключительно в частном порядке. Пункт работает круглосуточно, причем продать биткоины можно как за наличный, так и безналичный расчет.»


  1. AlexanderS
    13.05.2017 23:34
    -1

    Мне всё равно не понятно как он распространяется. Допустим у меня есть локалка, один комп из которой смотрит в инет. Если он заразился, то зловред может зашифровать всё на заражённом компе и с этого компа зашифровать все расшаренные папки на других компах. Это понятно. Но сами-то компы же останутся нормальными? Просто в их сетевых папках «каша» будет. Как он дотянется до несетевых данных на других компах? Как-то через пресловутое MS17-010 что ли? И даже если так, то как он активируется на исходной машине — файл же кто-то запустить всё равно должен — скачать, нажать на энтер как минимум…


    1. 0serg
      13.05.2017 23:53
      +2

      Обыкновенная уязвимость класса remote code execution. Отправляем специально сформированное «неправильное» сообщение по сети уязвимой программе (SMB server в данном случае), при его обработке происходит ошибка, результатом этой ошибки становится выполнение находящегося в сообщении (или уже находящегося на атакованной машине) кода. Запустившийся код затем устанавливает на машину зловреда.


      1. AlexanderS
        14.05.2017 08:08
        +1

        А, это RCE. Понятно тогда. Спасибо)


    1. trnc
      14.05.2017 20:49
      +1

      Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети.


      Причем тут сетевые папки? Червь будет размножать себя в локалке и заразит максимальное количество хостов, у которых 445 открыт и не установлены обновления.


  1. third112
    14.05.2017 13:47
    +2

    Спасибо за информацию! Мелкая опечатка (можно поправить) в самом конце: не

    Разрешения, шифруемых файлов:
    , а Расширения…


  1. dmitry_ch
    14.05.2017 22:28

    количество запросов уже превышало 1400 в час


    Это число не всего запросов в мире, а только на их сервисе.


    1. Kirylka
      15.05.2017 01:21

      Логично. Добавлю, хотя в оригинале это не было специально обозначено.


  1. ValdikSS
    15.05.2017 00:29
    +1

    То, что у вас обозначено в виде управляющих серверов, на самом деле является Entry (Guard)-нодами Tor. Они каждый раз разные.


  1. betep37
    15.05.2017 15:40

    Добрый день, у Вас в статье два раза повторяется адрес tor:

    188[.]166[.]23[.]127:443
    188[.]166[.]23[.]127:443


    Итого должно быть 14 адресов. Поправьте, пожалуйста.


  1. slava2017
    16.05.2017 08:18

    В новостях сообщения, что по схожести кода, вирус, типа, от северокорейцев.
    Кто-нибудь видел, что там сравнивали, насколько это соответствует истине?


    1. MacIn
      16.05.2017 17:05

      https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/


  1. Machine79
    23.05.2017 11:12

    Господа! Два вопроса! Как WannaCry понимает кто заплатил для расшифровки файлов, если такое имеется и вирус расшифровывает файлы? Второй вариант нужен анализ вируса на виртуалке изолированной от остальной сети. Где скачать оригинал сборки WannaCry ?)))