WannaCry

WannaCry

https://fs0cl3ty.ru/


Сегодня хотелось бы затронуть атаку шифровальщика, которая поразила множество ЭВМ по всему миру. Это самая масштабная атака виндовс-локеров за всю историю и при этом не менее интересно вникнуть и разобрать его.


Начиная с прошлой пятницы компьютеры по всему миру подверглись глобальной кибератаке шифровальщика WannaCry, что вызвало небывалый хаос. В результате атаки было заражено более 300 тысяч компьютеров. Были зашифрованы данные множества компаний, правительственных, образовательных и медицинских учреждений, а также файлы обычных пользователей из более чем 100 стран мира.

12 мая началась атака с использованием уязвимости ETERNALBLUE, которой подвержены системы Windows начиная от XP.


ETERNALBLUE - название эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, которая была разработана Агентством национальной безопасности США. Данные по ней были слиты группой The Shadow Brokers в этом году. Было слито огромное количество уязвимостей, которое использовало США для нелегального доступа.


Интересная особенность данной уязвимости в том что здесь не требуется "помощь" жертвы для заражения. Не требуется открывать какой-либо файл и запускать что-то.


WannaCry сканирует как внутренние, так и внешние сети пострадавших компаний, подключаясь к порту 445 (SMB) и осуществляя поиск компьютеров, на которых не установлен указанный выше патч, с целью их заражения (подобно компьютерному червю). Для этого он использует вариант бэкдора DOUBLEPULSAR.


Можно разделить такие этапы заражения:

1. Поиск устройств с открытым портом 445, с помощью которого и возможно заражение

2. Происходит заражение

3. Происходит поиск других устройств находящихся в той же сети с открытым портом 445

4. Дублирование себя на них

5. Шифрование файлов и папок с помощью AES, которые могут быть расшифрованы только зная RSA ключ

6. Убивает процессы с открытыми базами данных, что гарантирует их шифрование

7. Запрещает загрузку системы в режиме восстановления

8. Получает доступ к системным скрытым файлам с копиями и удаляет их, чтобы не дать пользователю восстановить систему


В первой версии вируса присутствовало правило при котором каждый раз проверялось есть ли успешный ответ от домена [http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea...]


Когда аналитик по безопасности обнаружил это в коде вируса, то зарегистрировал домен и заражение на некоторое время прекратилось.

Но спустя время выпущена была новая ревизия вируса, где уже не было проверки на данный домен.


За разблокировку требуют 300$, а иначе через 7 дней теряется возможность разблокировки.

На данный момент хакерами получено уже более 65 тысяч долларов.

Microsoft выпустила обновление для всего семейства Windows, даже для тех чью поддержку она давно прекратила. Обновляйтесь.