Перейти к содержимому


Обновите windows на работе или дома


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 niger

niger
  • Пользователи
  • 214 сообщений

13 мая 2017 - 10:54

Ведется массовая атака криптором Wana decrypt0r 2.0

В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.

 

C_n2dzcW0AAsnG-.jpg:large
A ransomware spreading in the lab at the university (отсюда)

 

Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальнейших инструкций.

 

3cdf32c07c2f416085676d5e9e8c86fd.jpg

 

Связавшись с бывшими коллегами я был удивлен похожими исторями.

 

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

 

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.

 

13de19e3d94c476f9ee223e1b28408f5.png

 

Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.

 

И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".

 

Вывод nmap показывает, что даже в этом случае некоторые порты открыты наружу по умолчанию:

Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknown

Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.

 

На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.

 

Если у вас есть похожие случаи, поделитесь информацией о них.

 

Несколько ссылок по теме:

 

 

Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:

 

Скрытый текст

 

UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.

 

Патчи для исправления этой уязвимости можно скчатать на официальном сайте:

 

 

Уязвимость так-же можно времено закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в коммандной строке:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Установить патчи при этом все равно рекомендуется

 

UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

 

  • Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
  • Откройте cmd.exe (коммандную строку)
  • Напишите:
    wmic qfe list | findstr 4012212
  • Нажмите Enter
  • Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
    http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
  • Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке выше.

 

UPD3: В интернете находятся интересные подробности по данному инциденту:

 

UPD4: Интерактивная карта заражения:Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

 

79ec8e12fdb441a6ae6e5c0e8820ca37.png

 

UPD5: Видео показывающее наглядное применение эксплойта:

 

 
oU2SJiDKMYyKRatR.jpg

Here is a video showing ETERNALBLUE being used to compromise a Windows 2008 R2 SP1 x64 host in under 120 seconds with FUZZBUNCH #0day ;-)

 
 

 

UPD6: Нашелся интересный изъян в коде:

UPD7: Microsoft выпустил патч для старых систем (Windows XP и Windows Server 2003R2)Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

 

https://geektimes.ru/post/289115/


  • 3

#2 venoel

venoel
  • Пользователи
  • 1 072 сообщений

13 мая 2017 - 12:44

в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать.
Странно, такой ловкий вирус, локализирован для десятка языков, проникают в сети по всему миру и такая лажа с доменом.
  • 1

#3 Frey

Frey
  • Пользователи
  • 2 486 сообщений

13 мая 2017 - 13:05

Странно, такой ловкий вирус, локализирован для десятка языков, проникают в сети по всему миру и такая лажа с доменом.

если всё то что написано - это правда, то я думаю это не лажа совсем.


  • 0

#4 Paul_Alexander

Paul_Alexander
  • Техподдержка
  • 2 413 сообщений

13 мая 2017 - 13:13

Странно, такой ловкий вирус, локализирован для десятка языков, проникают в сети по всему миру и такая лажа с доменом.

Локализован - это правильно: как жертва заплатит, если не сможет прочитать, что от неё хотят?

 

P.S.  Я вот тут запереживал насчёт любителей "белых" адресов на домашних компьютерах...


  • 0

#5 venoel

venoel
  • Пользователи
  • 1 072 сообщений

13 мая 2017 - 13:21

Локализован - это правильно: как жертва заплатит, если не сможет прочитать, что от неё хотят?

Я же не говорю, что это не правильно. Я говорю, что виден очень продуманный подход и такой прокол с доменом. Ведь обращение к внешнему адресу легко отследить.


  • 0

#6 venoel

venoel
  • Пользователи
  • 1 072 сообщений

13 мая 2017 - 13:30

station-screen-xlarge_trans_NvBQzQNjv4Bq


  • 0

#7 niger

niger
  • Пользователи
  • 214 сообщений

13 мая 2017 - 13:31

Странно, такой ловкий вирус, локализирован для десятка языков, проникают в сети по всему миру и такая лажа с доменом.

 

Я же не говорю, что это не правильно. Я говорю, что виден очень продуманный подход и такой прокол с доменом. Ведь обращение к внешнему адресу легко отследить.

А может домен это и есть какой-то подход.


  • 0

#8 niger

niger
  • Пользователи
  • 214 сообщений

13 мая 2017 - 13:35

station-screen-xlarge_trans_NvBQzQNjv4Bq

Вот видишь легко отследить обращение и номер биткоин кошелька, даже на вокзале и в аэропорту


  • 0

#9 Santyaga

Santyaga
  • Пользователи
  • 765 сообщений

13 мая 2017 - 17:34

"белых" адресов на домашних компьютерах...

Временно перейти на "серый"?


  • 0

#10 dnepr

dnepr
  • Пользователи
  • 34 сообщений

13 мая 2017 - 17:42

:wink:  А я обычно всегда отключаю автоматические обновления как винды так и используемых программ! А то часто с ними бывают бока - можно и подождать!


  • 0

#11 Paul_Alexander

Paul_Alexander
  • Техподдержка
  • 2 413 сообщений

13 мая 2017 - 18:15

:wink:  А я обычно всегда отключаю автоматические обновления как винды так и используемых программ! А то часто с ними бывают бока - можно и подождать!

Ну, так  "заплатки" от этой дыры  вышли пару месяцев назад. Вирус как раз поражает те компьютеры, которые не обновлялись.


  • 0

#12 Paul_Alexander

Paul_Alexander
  • Техподдержка
  • 2 413 сообщений

13 мая 2017 - 18:16

Временно перейти на "серый"?

Нет гарантии, что кто-то внутри сети не подхватит и не начнёт заражать других. Только установка соответствующего обновления.


  • 0

#13 venoel

venoel
  • Пользователи
  • 1 072 сообщений

13 мая 2017 - 20:18

Уточняют, что чуваку, который обнаружил способ остановить вирус -
22 года. Чувак в своем твиттере прикалывается "теперь в своем резюме могу просто упомянуть, что остановил мировую кибератаку".
  • 3

#14 rabbit

rabbit
  • Пользователи
  • 7 040 сообщений

13 мая 2017 - 23:56

У меня в обновлениях выставлено "Искать обновления, но решение о загрузке и установке принимается мной". Обновляю вручную, как правило раз в 4-5 месяцев. Это я, видимо, удачно обновился 18 апреля. :) Также регулярно делаю бэкап через Acronis True Image. Правда только системного раздела. Но, и файл этого бэкапа, и другую важную для меня информацию, с других дисков, копирую на HDD, который подключается к ПК только на время копирования. Такая себе, система глубокого резервирования. :wink:

Эти все "многа букофф" только для того, чтобы пресечь различные "остроумные" замечания, ну и показать, что я не совсем "чайник".

А теперь, проясните для меня одну вещь. Это хорошо, что у меня есть апрельский бэкап с этим обновлением. Но, если, к примеру, мне понадобится ставить винду с "нулячего" образа, где нет этой заплатки. Хоть семерку хоть десятку, неважно. Нужно будет качать сборочку, где уже вшиты обновления по определенную дату? Учитывая скорость заражения, описанную в статье, я вряд ли успею поставить все апдейты на чистую винду? Поправьте, если ошибаюсь.


  • 0

#15 vrate

vrate
  • Пользователи
  • 1 436 сообщений

14 мая 2017 - 06:38

А мой ПК попался зловесному шифровальщику SAGE 2.0
https://forum.kasper...l=&fromsearch=1

П.с. отличный повод на 75% освободить жёстки диск)))
  • 0

#16 rabbit

rabbit
  • Пользователи
  • 7 040 сообщений

15 мая 2017 - 04:06

Wana decrypt0r решение проблемы :gha:


  • 0

#17 Mr.Slave

Mr.Slave
  • Пользователи
  • 80 сообщений

15 мая 2017 - 08:03

:)


  • 0

#18 niger

niger
  • Пользователи
  • 214 сообщений

15 мая 2017 - 08:06

Специалисты компаний T&T Security и Pentestit произвели анализ шифровальщика Wana Decrypt0r 2.0 для выявления функционала, анализа поведения и способов распространения вредоноса.

Wanna Decrypt0r, распространяемый через SMB — это вторая версия Wanna Cry, который распространялся более классическими способами (фишинг), поэтому он имеет индекс 2.0. В данный момент существуют минимум три ветки шифровальщика: фишинговая (первая), киллсвитч (первая волна), без киллсвитчера (выпущенная буквально несколько часов назад). По состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.

 

Статистика

 

Заражения:

 

В настоящий момент (19:00 GMT+3) заражено 236,648 машин (вероятнее всего завтра эта цифра значительно увеличится). Хотя управляющий (вернее, отвечающий за распространение) домен удалось засинкхолить, судить о количестве заражений по "отстуку" на этот домен — неверно. Часть зараженных машин может находится за NAT или отключена от глобальной сети.
 

4f146e514880492f9ad574ac04f403a3.png

 

 

Выплаты:

 

Выкуп за расшифровку перечисляются на три биткоин кошелька:

 

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn: 4.33279223 BTC — $7799
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94: 6.00472753 BTC — $10808
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw: 8.78127705 BTC — $15806

 

Командные центры:

 

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

 

Поддерживаемые языки:

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Атрибуция:

 

Создать вредонос мог кто угодно, явных признаков, способных выявить авторов, пока не обнаружено, за исключением следующей информации:

00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
00:34 < nulldot> 0x1000f270, 12, 00000000.pky
00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

Killswitch домен:

 

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Уже существуют версии шифровальщика без этой функции.

 

Шифрует файлы следующих расширений:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Шифрование:

 

Для шифрования используется 2048-битный ключ RSA. На данный момент утилиты расшифровки не существует.

 

Распространение:

 

Для распространения шифровальщика злоумышленниками используется критическая уязвимость MS17-010 в протоколе SMBv1. Хотя, согласно официальному бюллетеню безопасности, данной уязвимости подвержены версии Windows, начиная с Vista, последствия атаки оказались настолько серьезными, что компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.
 
C_y-PvxWAAENNoh.jpg
 

 

Злоумышленники использовали эксплоит ETERNALBLUE из архива АНБ, "слитого" группировкой ShadowBrokers. Сам комплекс представляет собой автоматизированную систему: сканер DoublePulsar для организации доступа и установки шифровальщика на уже забэкдоренные машины, либо эксплоит ETERNALBLUE.
 

3999c7eaa1cba4d0703ca4b7bd0bfdc0.png

 
После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.
 

83735faa954a6a6b7284ad1b6cb35c14.png

 
Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты:

42b58930d565a29dbea7953181d1a808.jpg

 

 

Анализ

 

Автоматизированный анализ вредоносного кода производился в специализированной системе tLab, которая представляет собой профессиональный инструмент для удаленного и безопасного анализа подозрительных объектов. Система позволяет автоматизировать процедуру анализа поведения исполняемых объектов и выявлять в них признаки вредоносных функций, далее система автоматически выдает полный интерактивный отчет. При этом используется уникальная технология глубокого анализа функциональности программ, основанная на полиморфных иерархических сетях Петри. Эта система — авторская разработка, реализованная в Казахстане компанией T&T Security.

 

Анализ проводился над двумя объектами:
Объект №1
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
и
Объект №2
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

 

tLab представляет уровень угрозы в мета-процентах (может быть более 100%), если выше предела опасности (85% по умолчанию) — считается вредоносным (выделяется красным). Предел опасности выставляется администратором tLab. Уровень угрозы вычисляется для отдельных индикаторов вредоносного/подозрительного поведения таких как шпионская активность, закрепление в ОС, эксплоит, прокси-активность и т.д. Для каждого индикатора уровень угрозы рассчитывается на основе определенных действий и комбинации действий в контексте цепочки активности.

 

В результате были обнаружены несколько индикаторов потенциальных угроз (функциональностей), таких как закрепление в ОС, нетипичная сетевая активность, модификация ОС и данных пользователя и прокси-активность. При этом первый объект продемонстрировал в полтора раза больший уровень угрозы. Это связано с тем, что данный объект имеет дополнительные функциональности, в том числе механизм само-распространения в виде сетевого червя.

9eb44ad282739ce4c9a7700b76743d95.png

 

ac5cd343d33cb06f905931af007c2939.png

 
Почти все индикаторы динамического анализа имеют угрозу, начиная от 100 мета-процентов. Особенно выделяется индикатор массовой активности, указывающие на огромное число повторяющихся системных событий, что является аномальным для легитимных приложений. В данном случае происходит перебор тысяч IP-адресов из возможного диапазона. Закрепление в ОС набрал уровень 90 благодаря установке сервиса и автозапуска извлеченных объектов. Прокси-активность обуславливается попыткой вредоносного объекта достижения системных действий через чужие легитимные средства (чужими руками), например с целью обхода детекта. В данном случае вредонос устанавливает на автозапуск свой извлеченной компонент через системную утилиту.

 

На основе обнаруженных индикаторов система автоматически выставила экспертный вердикт — Опасно.
 

168f351e51b8043399644a4076aaeb73.png

 

 

Полезная нагрузка

 

На поведенческом уровне оба объекта схожи и шифруют файлы пользователя. Первый объект имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1, для чего он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети, но и возможность атаковать другие компьютеры в мировом масштабе.
 

26b845723ef74a8c2b1dfe644e9d756d.png

 
Командные сервера вымогателя находятся в сети Tor. Во время работы вируса происходит соединение на порты 443, 9101, 9102 на ряд IP-адресов, являющихся входными нодами сети Tor. Во время очередного динамического анализа были зафиксированы попытки соединения на следующие адреса:

 

  • 85.248.227.164:9002
  • 194.109.206.212:443
  • 217.79.190.25:9090
  • 204.11.50.131:9001
  • 95.183.48.12:443
  • 171.25.193.9:80
  • 195.154.164.243:443
  • 131.188.40.189:443
  • 5.9.159.14:9001
  • 199.254.238.52:443
  • 178.16.208.57:443
  • 128.31.0.39:9101
  • 154.35.175.225:443
  • 163.172.35.247:443

 

При каждом новом динамическом анализе данный набор адресов меняется, но всегда является входной нодой Tor. Скорее всего, образец случайным образом выбирает "адрес: порт" из заранее заложенного в него списка адресов. На момент написания статьи количество входных нод в сеть Tor составляло более 7 000.

 

Инсталляция и закрепление в ОС

 

Динамический анализ показал, что объекты закрепляются в ОС либо напрямую, либо через извлеченный исполняемый файл “tasksche.exe”, который является инсталлятором группы компонентов шифровальщика. Как видно из снимков экрана, вредоносы используют легитимную системную утилиту (“reg.exe”) для добавления своего объекта в автозапуск, используя следующую командную строку:

cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v "abzyckxcqecwnu394" /t reg_sz /d "\"c:\intel\abzyckxcqecwnu394\tasksche.exe\""

Такой подход классифицирован как прокси-активность, которая обычно используется для обхода обнаружения со стороны антивируса.
 
report-6.png
 
Объект №1 дополнительно устанавливает сервисы для обеспечения "выживаемости" его следующих компонентов:

c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin
c:\intel\abzyckxcqecwnu394\tasksche.exe

Особенностью вредоноса является установка своего извлеченного объекта как сервис, который и порождает всю последующую активность.
 
report-7.png
 
В процессе инсталляции процесс “tasksche.exe” или сам вирус извлекает из себя и запускает файл “@wanadecryptor@.exe” множество раз в различные пользовательские папки и другие директории, содержащие файлы для зашифровывания, видимо для того, чтобы избежать единой точки отказа или обнаружения. Для извлечения используется пароль WNcry@2ol7.

 

Извлечение @wanadecryptor@.exe

c:\intel\abzyckxcqecwnu394\@wanadecryptor@.exe
c:\@wanadecryptor@.exe
c:\docs\@wanadecryptor@.exe
c:\docs\docs\@wanadecryptor@.exe
c:\documents and settings\default user\(01;=k\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\cookies\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\(01;=k\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\(01;=k\@wanadecryptor@.exe
c:\programms\@wanadecryptor@.exe
c:\programms\totalcmd\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp1\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp2\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp3\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp4\@wanadecryptor@.exe
c:\temp\screener\@wanadecryptor@.exe
c:\documents and settings\all users\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\ 01g89 ab;\@wanadecryptor@.exe

Далее происходит запуск большинства извлеченных компонентов.
 
report-9.png
 
Процесс “@wanadecryptor@.exe” в свою очередь извлекает компоненты Tor-клиента и запускает его приложение “c:\intel\abzyckxcqecwnu394\taskdata\tor\taskhsvc.exe”.

c:\intel\abzyckxcqecwnu394\taskdata\tor\libeay32.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent-2-0-5.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_core-2-0-5.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_extra-2-0-5.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\libgcc_s_sjlj-1.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\libssp-0.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\ssleay32.dll
c:\intel\abzyckxcqecwnu394\taskdata\tor\tor.exe
c:\intel\abzyckxcqecwnu394\taskdata\tor\zlib1.dll
c:\intel\abzyckxcqecwnu394\\taskdata\tor\taskhsvc.exe
c:\temp\screener\newwindows\@wanadecryptor@.exe

Кроме того, данный процесс производит ряд системных действий с использованием следующих команд Windows:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Данные команды отключают сервис теневого копирования, удаляют существующие копии и отключают запуск по умолчанию средств восстановления при загрузке ОС.

 

Особенности работы вредоноса

 

По результатам анализа, данный вредонос имеет сложную структуру активности, которая выражается в использовании множества независимых компонентов, резервировании объектов и методов прокси-деятельности. Как видно из цепочки активности, вирус-родитель извлекает ряд объектов и через них закрепляется в системе (автозапуск), перебирает входные узлы TOR сети, модифицирует настройку ОС и запускает компоненты шифрования пользовательских файлов. Более полная цепочка активности демонстрирует факт многократного запуска извлеченных компонентов шифровальщика, что, в свою, очередь было зафиксировано как аномальная массовая активность с высоким уровнем угрозы.
 
report-13.png
 
При всем объеме заложенной функциональности данный вредонос не обладает приемами сокрытия своего присутствия. Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IOC (index of compromise, индекс вредоносности). Соответственно, мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов.

 

Итог

 

Вредоносный комплекс представляет из себя совокупность общедоступных компонентов и не требует высокой квалификации злоумышленников. Есть очень большая вероятность, что эти системы могли быть захвачены злоумышленниками ранее, шифровальщик лишь вскрыл проблему. Характер заражения, скорость и затронутые системы показывают, что на сегодняшний день многие системы не могут и не готовы противостоять современным кибергурозам. На Pentestit Secuirty Conference будут представлены актуальные доклады по анализу вредоносного кода, компьютерной криминалистике и противодействию современным кибератакам.


  • 1