1111

WannaCry 

Сегодня хотелось бы затронуть атаку шифровальщика, которая поразила множество ЭВМ по всему миру. Это самая масштабная атака виндовс-локеров за всю историю и при этом не менее интересно вникнуть и разобрать его.

Начиная с прошлой пятницы компьютеры по всему миру подверглись глобальной кибератаке шифровальщика WannaCry, что вызвало небывалый хаос. В результате атаки было заражено более 300 тысяч компьютеров. Были зашифрованы данные множества компаний, правительственных, образовательных и медицинских учреждений, а также файлы обычных пользователей из более чем 100 стран мира.

12 мая началась атака с использованием уязвимости ETERNALBLUE, которой подвержены системы Windows начиная от XP.

ETERNALBLUE - название эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, которая была разработана Агентством национальной безопасности США. Данные по ней были слиты группой The Shadow Brokers в этом году. Было слито огромное количество уязвимостей, которое использовало США для нелегального доступа. 

Интересная особенность данной уязвимости в том что здесь не требуется "помощь" жертвы для заражения. Не требуется открывать какой-либо файл и запускать что-то. 

WannaCry сканирует как внутренние, так и внешние сети пострадавших компаний, подключаясь к порту 445 (SMB) и осуществляя поиск компьютеров, на которых не установлен указанный выше патч, с целью их заражения (подобно компьютерному червю). Для этого он использует вариант бэкдора DOUBLEPULSAR.

Можно разделить такие этапы заражения:

1. Поиск устройств с открытым портом 445, с помощью которого и возможно заражение

2. Происходит заражение

3. Происходит поиск других устройств находящихся в той же сети с открытым портом 445

4. Дублирование себя на них

5. Шифрование файлов и папок с помощью AES, которые могут быть расшифрованы только зная RSA ключ

6. Убивает процессы с открытыми базами данных, что гарантирует их шифрование

7. Запрещает загрузку системы в режиме восстановления

8. Получает доступ к системным скрытым файлам с копиями и удаляет их, чтобы не дать пользователю восстановить систему

В первой версии вируса присутствовало правило при котором каждый раз проверялось есть ли успешный ответ от домена [http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/] 

Когда аналитик по безопасности обнаружил это в коде вируса, то зарегистрировал домен и заражение на некоторое время прекратилось. 

Но спустя время выпущена была новая ревизия вируса, где уже не было проверки на данный домен.

За разблокировку требуют 300$, а иначе через 7 дней теряется возможность разблокировки. 

На данный момент хакерами получено уже более 65 тысяч долларов. 

Microsoft выпустила обновление для всего семейства Windows, даже для тех чью поддержку она давно прекратила. Обновляйтесь.

На текущий момент заражение можно лишь предотвратить, но если оно уже произошло, то лечения нет.