17.05.2017 17:39
steff 39 17900 Источник


Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.

Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.

Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.

Как удалось поймать Adylkuzz


В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.

Как распространяется Adylkuzz


Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Несмотря на то, что вирус не требует вознаграждение за расшифровку файлов, а тихо майнит «денежку», назвать его разработчиков благородными всё же сложно — компьютер продолжает находиться в составе ботнета. Как он поведёт себя в будущем, не известно.

Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?

UPD, появился полный перевод статьи Proofpoint о том, как они обнаружили Adylkuzz.
Поделиться с друзьями
-->

Комментарии (39)


  1. KIVagant
    18.05.2017 03:18
    #10222628
    +1

    Стилистическое:

    Благородные разработчики Adylkuzz пошли другим путём…
    ..., всё же сложно назвать вирусописателей благородными :-)


    Сложно, но можно :)


    1. Idot
      18.05.2017 07:30
      #10222712
      +2

      А ещё можно вспомнить червя, который пачтил компьютеры защищая их от других червей.


      1. WaveCut
        18.05.2017 13:41
        #10223554
        +2

        Конкуренция за среду обитания


      1. steff
        18.05.2017 13:55
        #10223588
        +1

        Да-да, было дело: https://ru.wikipedia.org/wiki/Netsky_(червь)


    1. steff
      18.05.2017 07:36
      #10222714

      Поправил, спасибо


  1. BenjaminB
    18.05.2017 07:22
    #10222704
    +1

    Более полное исследование (но на английском, правда) с практическими выводами.
    https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi


  1. MaroccoBanana
    18.05.2017 07:22
    #10222706
    +1

    И как же выяснить, заражён ли компьютер?


    1. LoadRunner
      18.05.2017 08:19
      #10222756
      +1

      По аномальной нагрузке на процессор\видеокарту?


      1. titulusdesiderio
        18.05.2017 11:41
        #10223256
        +2

        пфф. так мы и svchost системный в лютые вирусы записать можем


        1. LoadRunner
          18.05.2017 11:53
          #10223282
          +1

          Я же говорю про аномальную, а не про нормальную. Если svchost системный и нагружает проц — надо смотреть по ID процесса, какие службы его задействуют. Скорее всего, это служба обновления. Реже что-либо ещё. Но в любом случае, полезно знать, какая служба даёт нагрузку, чтобы сделать что-нибудь с этим.
          И мы же говорим про способы обнаружения майнера — а анализ запущенных процессов и служб вполне может дать эту информацию.


          1. mayorovp
            18.05.2017 15:39
            #10223776
            +1

            ID процесса в случае svchost много не скажет. А вот по ID потока можно найти виновника довольно точно...


            1. LoadRunner
              18.05.2017 15:47
              #10223800
              +1

              Диспетчер задач вроде не умеет в id потока? Это уже сторонний софт нужен.


              1. mayorovp
                18.05.2017 15:49
                #10223806
                +1

                Да, тут нужен Process explorer


                1. LoadRunner
                  18.05.2017 15:51
                  #10223812
                  +1

                  Ну это уже уровень знаний, когда вероятность заразиться майнером или чем ещё стремится к нулю.


                  1. WGH
                    19.05.2017 17:55
                    #10226200
                    +3

                    Интересно, каким образом знания могут защитить от зеродеев в штатных функциях ОС?..


                    1. LoadRunner
                      19.05.2017 20:35
                      #10226442
                      +1

                      Знания помогут не подцепить малварь. От зеродеев застрахован только Неуловимый Джо.
                      Ну и те, кто регулярно ставит обновления — есть шанс, что в случае эпидемий их не затронет.


  1. Anthrax_Beta
    18.05.2017 07:22
    #10222708
    +2

    Майнер проще выколупать из системы, нежели безвозвратно(в большинстве случаев) потерять инфу от шифровальщика.


    1. Dioxin
      18.05.2017 08:37
      #10222776
      +2

      Да можно его и оставить на время, за то что защитил, пусть и дальше защищает от шифровальщика.
      А небольшая плата в виде майнинга вполне приемлема.


      1. Anthrax_Beta
        18.05.2017 08:51
        #10222792
        +1

        О таком варианте я даже и не подумал :)


      1. LoadRunner
        18.05.2017 08:59
        #10222808
        +1

        Довольно нелогично. Если есть навыки и возможности выколупать майнер, то почему бы попутно не пропатчить уязвимость?


        1. Dioxin
          18.05.2017 09:04
          #10222816
          +1

          Ну уж если на то пошло безопасностью надо заниматься постоянно, на всех уровнях.
          Тогда не будет ни шифровальщиков, ни майнеров.
          Многие же домашние пользователи даже антивирус не ставят, т.к. «ТОРМОЗИТ».
          Пусть уж лучше у них тогда майнер работает, хоть файлы не зашифрует.


          1. ilyaplot
            18.05.2017 09:16
            #10222846
            +1

            Пока в метро у человека не вытащат из заднего кармана деньги, он так и будет их там носить. То же самое с безопасностью. Пока все работает и нет убытков, безопасностью занимается меньшенство.


            1. Dioxin
              18.05.2017 09:26
              #10222878
              +1

              Не согласен, все зависит от человека.
              У меня кошелек не вытаскивали ни разу — а все потому что я его не ношу в заднем кармане.
              Знакомый же, который поймал шифровальщика «принципиально не ставит антивирус» по каким-то своим убеждениям.


              1. arch-vile
                18.05.2017 10:06
                #10222962
                +2

                По-моему от WanaCry антивирусы не очень то спасли.


                1. Dioxin
                  18.05.2017 10:59
                  #10223130
                  +1

                  Панда утверждает что она спасает.
                  У меня статистики нет.
                  Потом — есть другие бастионы защиты, например выходить в инет через роутер с закрытыми портами и соблюдение внутренней чистоты.


                1. LoadRunner
                  18.05.2017 11:54
                  #10223286
                  +1

                  Ну теперь-то они его знают и обещают детектировать.


                1. Ghool
                  18.05.2017 18:49
                  #10224142
                  +1

                  Ну, может какие-то и спасли


  1. ilyaplot
    18.05.2017 09:14
    #10222840
    +2

    А сколько вирусов борятся за место под солнцем на твоем необновленным компе?


    1. Dioxin
      18.05.2017 09:27
      #10222882
      +1

      С чего бы? Обновы это далеко не панацея и не единственный уровень защиты.


  1. AxisPod
    18.05.2017 11:18
    #10223174
    +1

    Т.е. по ходу МС тут надо было не патчи делать, а делать вирус, который именно и закрывает дыру.


    1. Alcor
      18.05.2017 11:28
      #10223212
      +1

      А зачем им это? Их основная цель сейчас — пересадить людей на Win10 для увеличения количества продаж (за счет WinXP+) и уменьшения издержек на поддержку Win7+.


      1. Ghool
        18.05.2017 18:50
        #10224146
        +1

        10-ка тоже подвержена


        1. AxisPod
          18.05.2017 19:18
          #10224202
          +2

          1703 ужо нет.


      1. AxisPod
        18.05.2017 19:00
        #10224174
        +1

        Ну так могли впарить инсталлер Win10 таким образом.


    1. Ghool
      18.05.2017 18:50
      #10224148
      +1

      Механизм автораспространения обновлений у них и так есть.
      По крайней мере у тех, кто не отключил его.


  1. Demon_i
    18.05.2017 15:11
    #10223736
    +1

    Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации


    Чего то я недопонимаю. Если там есть предыдущая копия, то SMB заблокировано. Как он тогда попадает на компьютер?


    1. LoadRunner
      18.05.2017 15:20
      #10223754
      +1

      Это если упрямый пользователь снова SMB разблокировал, наверное.


    1. steff
      18.05.2017 15:23
      #10223758

      Хороший вопрос :-) Возможно, «чтобы обеспечить выживаемость» вирус в любом случае выполняет эти действия.


  1. sanblch
    18.05.2017 16:53
    #10223886
    +2

    Майнеры не влияют на капитализацию. По крайней мере в такой популярной криптовалюте, как Монеро. Просто вирусописец нашел себе хороший способ заработать на своем ремесле.