Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.
Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.
Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.
Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.
Как удалось поймать Adylkuzz
В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.
Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.
Как распространяется Adylkuzz
Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.
А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Несмотря на то, что вирус не требует вознаграждение за расшифровку файлов, а тихо майнит «денежку», назвать его разработчиков благородными всё же сложно — компьютер продолжает находиться в составе ботнета. Как он поведёт себя в будущем, не известно.
Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.
Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?
UPD, появился полный перевод статьи Proofpoint о том, как они обнаружили Adylkuzz.
Комментарии (39)
BenjaminB
18.05.2017 07:22+1Более полное исследование (но на английском, правда) с практическими выводами.
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
MaroccoBanana
18.05.2017 07:22+1И как же выяснить, заражён ли компьютер?
LoadRunner
18.05.2017 08:19+1По аномальной нагрузке на процессор\видеокарту?
titulusdesiderio
18.05.2017 11:41+2пфф. так мы и svchost системный в лютые вирусы записать можем
LoadRunner
18.05.2017 11:53+1Я же говорю про аномальную, а не про нормальную. Если svchost системный и нагружает проц — надо смотреть по ID процесса, какие службы его задействуют. Скорее всего, это служба обновления. Реже что-либо ещё. Но в любом случае, полезно знать, какая служба даёт нагрузку, чтобы сделать что-нибудь с этим.
И мы же говорим про способы обнаружения майнера — а анализ запущенных процессов и служб вполне может дать эту информацию.mayorovp
18.05.2017 15:39+1ID процесса в случае svchost много не скажет. А вот по ID потока можно найти виновника довольно точно...
LoadRunner
18.05.2017 15:47+1Диспетчер задач вроде не умеет в id потока? Это уже сторонний софт нужен.
mayorovp
18.05.2017 15:49+1Да, тут нужен Process explorer
LoadRunner
18.05.2017 15:51+1Ну это уже уровень знаний, когда вероятность заразиться майнером или чем ещё стремится к нулю.
WGH
19.05.2017 17:55+3Интересно, каким образом знания могут защитить от зеродеев в штатных функциях ОС?..
LoadRunner
19.05.2017 20:35+1Знания помогут не подцепить малварь. От зеродеев застрахован только Неуловимый Джо.
Ну и те, кто регулярно ставит обновления — есть шанс, что в случае эпидемий их не затронет.
Anthrax_Beta
18.05.2017 07:22+2Майнер проще выколупать из системы, нежели безвозвратно(в большинстве случаев) потерять инфу от шифровальщика.
Dioxin
18.05.2017 08:37+2Да можно его и оставить на время, за то что защитил, пусть и дальше защищает от шифровальщика.
А небольшая плата в виде майнинга вполне приемлема.LoadRunner
18.05.2017 08:59+1Довольно нелогично. Если есть навыки и возможности выколупать майнер, то почему бы попутно не пропатчить уязвимость?
Dioxin
18.05.2017 09:04+1Ну уж если на то пошло безопасностью надо заниматься постоянно, на всех уровнях.
Тогда не будет ни шифровальщиков, ни майнеров.
Многие же домашние пользователи даже антивирус не ставят, т.к. «ТОРМОЗИТ».
Пусть уж лучше у них тогда майнер работает, хоть файлы не зашифрует.
ilyaplot
18.05.2017 09:16+1Пока в метро у человека не вытащат из заднего кармана деньги, он так и будет их там носить. То же самое с безопасностью. Пока все работает и нет убытков, безопасностью занимается меньшенство.
Dioxin
18.05.2017 09:26+1Не согласен, все зависит от человека.
У меня кошелек не вытаскивали ни разу — а все потому что я его не ношу в заднем кармане.
Знакомый же, который поймал шифровальщика «принципиально не ставит антивирус» по каким-то своим убеждениям.
AxisPod
18.05.2017 11:18+1Т.е. по ходу МС тут надо было не патчи делать, а делать вирус, который именно и закрывает дыру.
Alcor
18.05.2017 11:28+1А зачем им это? Их основная цель сейчас — пересадить людей на Win10 для увеличения количества продаж (за счет WinXP+) и уменьшения издержек на поддержку Win7+.
Ghool
18.05.2017 18:50+1Механизм автораспространения обновлений у них и так есть.
По крайней мере у тех, кто не отключил его.
Demon_i
18.05.2017 15:11+1Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации
Чего то я недопонимаю. Если там есть предыдущая копия, то SMB заблокировано. Как он тогда попадает на компьютер?
steff
18.05.2017 15:23Хороший вопрос :-) Возможно, «чтобы обеспечить выживаемость» вирус в любом случае выполняет эти действия.
sanblch
18.05.2017 16:53+2Майнеры не влияют на капитализацию. По крайней мере в такой популярной криптовалюте, как Монеро. Просто вирусописец нашел себе хороший способ заработать на своем ремесле.
KIVagant
Стилистическое:
Сложно, но можно :)
Idot
А ещё можно вспомнить червя, который пачтил компьютеры защищая их от других червей.
WaveCut
Конкуренция за среду обитания
steff
Да-да, было дело: https://ru.wikipedia.org/wiki/Netsky_(червь)
steff
Поправил, спасибо