1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Обнаружены второй и третий варианты WannaCry, в том числе без стоп-крана

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 15 май 2017.

Метки:
  1. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.807
    Пятничная атака криптовымогателя WannaCry (WannaCrypt) поразила более 200 000 компьютеров в 150 странах, сказал руководитель Европола Роб Уэйнрайт (Rob Wainwright). Атака стала «беспрецедентной по своему размеру», а полный масштаб заражений пока неизвестен. По словам Уэйнрайта, многие пользователи найдут свои компьютеры заражёнными в понедельник утром. Среди стран наиболее пострадали Россия и Великобритания.

    Как известно, WannaCry (WannaCrypt) сочетает функциональность криптовымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows и эксплойт от АНБ. По счастливой случайности глобальное распространение инфекции удалось остановить в тот же день, когда она началась.

    Британский специалист по безопасности, автор блога MalwareTech Blog, оперативно зарегистрировал доменное имя, к которому обращалась каждая версия криптовымогателя перед выполнением вредоносного кода. Позже выяснилось, что это доменное имя программа использовала в качестве «аварийного стоп-крана». Вероятно, чтобы защититься от анализа специалистами своей функциональности в виртуальной среде (песочнице).

    [​IMG]

    Доменное имя iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com специально было оставлено незарегистрированным. Дело в том, что в песочнице обычно все HTTP-запросы перехватываются и по ним возвращается ответ OK с IP-адресом песочницы, чтобы изучить дальнейшие действия зловреда. В данном случае если запрос к домену возвращает успешный ответ, зловред думает, что он в песочнице, и аварийно прекращает работу. Таким образом, после регистрации доменного имени все экземпляры WannaCry во всём мире решили, что они в песочнице — и закончили работу.

    Разумеется, речь идёт только о свежих заражениях, когда зловред первично запускается на исполнение.

    После появления информации об «аварийном стоп-кране» в коде программы эксперты сразу выступили с предупреждениями, что расслабляться рано. Наверняка в ближайшее время можно ожидать появления новой версии криптовымогателя без подобного ограничителя. Многие предполагали, что такая версия появится на следующей неделе, но реальность оказалась хуже, чем прогнозы. Несколько часов назад хакер Мэтью Сюиш (Matthieu Suiche) из Microsoft сообщил в твиттере об обнаружении нового варианта WannaCry (WannaCrypt) с видоизменённым «стоп-краном», который проверял уже другой домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com перед выполнением. Экземпляр прислал коллега @benkow_.

    [​IMG]

    Хакер моментально подал заявку на этот домен, чтобы остановить вторую волну атаки.

    [​IMG]

    Общий механизм работы криптовымогателя и механизм обнаружения песочницы остался прежним. Как и раньше, в случае успешного запроса к доменному имени выполнение программы прекращается. Но теперь есть основания предполагать, что существует несколько вариантов зловреда с разными доменными именами, прошитыми в коде.

    Сюиш опубликовал свой анализ новых вариантов WannaCry. по его словам, найдено два новых варианта. Первый из них Мэтью блокировал путём регистрации доменного имени, а второй вариант криптовымогателя не шифрует файлы из-за повреждённого архива.

    Мэтью Сюиш связался с коллегой @MalwareTechBlog, чтобы перенаправить с нового домена на общий sinkhole-сервер, который собирает запросы от ботов и обновляет интерактивную карту заражений.

    Что касается второго варианта с повреждённым архивом, то его обнаружили специалисты антивирусной компании «Лаборатория Касперского» — и он работает без выключателя. Хотя непосредственно шифрования файлов не выполняется из-за повреждения, но червь успешно распространяется по Сети — и к настоящему времени поразил большое количество компьютеров.

    Таким образом, к настоящему времени известно три варианта червя-криптовымогателя WannaCry (WannaCrypt):

    Name : 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
    LastWriteTime : 5/14/2017 5:56:00 PM
    MD5 : D724D8CC6420F06E8A48752F0DA11C66
    SHA2 : 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
    Length : 3723264
    Name : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
    LastWriteTime : 5/13/2017 7:26:44 AM
    MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
    SHA2 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
    Length : 3723264
    Name : 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
    LastWriteTime : 5/14/2017 4:11:45 PM
    MD5 : D5DCD28612F4D6FFCA0CFEAEFD606BCF
    SHA2 : 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
    Length : 3723264

    «Лаборатория Касперского» сказала, что второй вариант с новым доменом в качестве стоп-крана впервые обнаружен у пользователей антивируса сегодня ночью в 01:53:26 GMT (2017–05–14 01:53:26.0).

    Третий вариант «Лаборатория Касперского» обнаружила первой — и там выключатель отстутствует. К счастью, этот вариант не может извлечь свои исполняемые файлы из архива.

    [​IMG]

    Третий вариант без выключателя впервые обнаружен в 2017–05–14 13:05:36. Заражений от него нет ни одного.

    Конечно, история не заканчивается на этом. Самое массовое заражение криптовымогателями только начинается. Наверняка можно ожидать новых вариантов WannaCry (WannaCrypt), которе будут функционировать как положено. Пока что мы получили только временную передышку.

    Напоминаем, что Microsoft оперативно выпустила патчи для исправления уязвимости:


    Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

    Код (Text):
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
    geektimes.ru
     
    Последнее редактирование модератором: 12 сен 2017
    Phoenix, Кирилл, Sandor и ещё 1-му нравится это.
  2. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    Файлик попался Trojan-Ransom.Win32.Wanna.m, в обзорах такого детекта ещё нет и на вирустотал до этого ни разу не проверялся, так что возможно как раз от свежей вариации вируса :).
     
  3. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.040
    Симпатии:
    2.023
     
  4. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.776
    Симпатии:
    14.807
    Да похоже опять начинается
    upload_2017-5-16_0-16-40.
    --- Объединённое сообщение, 16 май 2017 ---
    Насколько я понимаю, на вчера было уже 452 образца этой заразы
     
  5. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    Это с субботы или с какого числа? Сделали обзор одним из последних не написав ничего нового. И ещё пытаются внушить, что их антивирус и до этого этот вирус видел. Если бы бы он его видел до начала эпидемии (не путать начала эпидемии со временем, когда человек поправил название сигнатуры добавленной роботом по факту), то почему так много пострадавших у кого по логам стоит др. Веб?

    Можно не отвечать, сам понимаю... маркетинг.
     
    Последнее редактирование: 16 май 2017
  6. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.040
    Симпатии:
    2.023
  7. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    Это они видно судят по тому, что она на форум доктора Веба не обращались, точней только один обратился. Зато среди обратившихся на другие форумы их было много. Либо сознательно пытаются внушить иллюзию.
    --- Объединённое сообщение, 16 май 2017 ---
    Вон Nod тоже пропускал вирус, зато сейчас добавил сигнатуры даже на текстовые файлы и картинки с требованием выкупа и устроил акцию на продажу со скидкой 10%
     
  8. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.040
    Симпатии:
    2.023
    А каким ранним числом пострадали пользователи дрвеб ?
     
  9. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    12-м, но не знаю может быть и позже были.
     
  10. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.040
    Симпатии:
    2.023
    Скорее всего некоммерческие лицензии. По ним поддержки нет и вероятно не всё работает как надо. Только они это не афишируют.
     
  11. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.619
    Phoenix, я понимаю, что вы большой фанат др. Веба, но не надо пытаться доказать то чего нет.
    Не хочется здесь обсуждать пиратские лицензии тем более это запрещено, но некоммерческие лицензии это просто означает, что они не были куплены (а были получены по акции/позаимствованы или что-то другое). Но при этом они всё равно были выпущены др. Вебом и технически ничем не отличаются от купленной. Так что антивирус работает точно также. А то что обращались на др. форум всего лишь означает, что он попал в индекс Яндекса и Гугла и при поиске по этой проблеме выдавало его, а не форум Веба.
     
  12. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.040
    Симпатии:
    2.023
    Я не фанат, а скорее знаток. Говорю что знаю. Пробные лицензии и подарочные (акции), просто дают право на скидку. Такие клиенты не обслуживаются. Если человек, купил продукт, то он считает, что его должны обслужить. (абы куда обращаться вряд ли станут) Некоммерческие продукты везде работают с ограничениями. Насколько я видел, на форуме обратились тестеры, которые сам запустили трояна.


    Trojan.Encoder.11432

    Добавлен в вирусную базу Dr.Web: 2017-05-12
    Описание добавлено: 2017-05-16

    SHA1:
    • Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
    • Дроппер энкодера: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
    • Энкодер: 7d36a6aa8cb6b504ee9213c200c831eb8d4ef26b
    • Авторский декодер: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
    Многокомпонентный сетевой червь, известный под именем WannaCry. Написан на языке C/C++, собран в среде разработки MS Visual Studio, не упакован. Содержит в собственном теле две динамические библиотеки. При запуске пытается отправить GET-запрос на удаленный сервер
    Код (Text):
    httр://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    без кэширования результатов. Если получает ответ от сервера, завершает работу.

    Запускается как системная служба Windows с именем "mssecsvc2.0" (видимое имя – "Microsoft Security Center (2.0) Service"). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис "mssecsvc2.0" и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

    Для собственного распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

    Дроппер
    Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:
    • b.wnry - файл с обоями Рабочего стола Windows;
    • c.wnry - файл содержит адреса onion-серверов и адрес BTC-кошелька;
    • t.wnry - зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;
    • s.wnry – архив, содержащий ПО для работы с сетью Tor.
    После запуска пытается установить себя в следующие папки:
    • %SYSDRIVE%\ProgramData (если папка существует)
    • %SYSDRIVE%\Intel
    • %SYSDRIVE%
    • %TEMP%
    При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe.

    Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора ("cmd.exe /c path") и запускает эту службу. В случае неудачи запускается как обычное приложение.

    При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.

    Троянец-шифровальщик
    Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.

    В зашифрованном файле сохраняется:

    • маркер (8 байт): WANACRY!;
    • длина зашифрованного ключа (4 байта);
    • зашифрованный ключ (256 байт);
    • информация о типе шифрования (4 байта);
    • исходный размер файла (8 байт);
    • зашифрованные данные.
    В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.

    Шифровальщик содержит авторский декодер, который выполняет следующие функции:

    • установка обоев рабочего стола из файла b.wnry;
    • удаление теневых копий;
    • отключение функции восстановления системы;
    • распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.
    Декодер способен воспринимать следующие параметры командной строки (без аргументов):
    • fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
    • co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;
    • vs — удаляет теневые копии и отключает восстановление системы.
    Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной.
    Новость о троянце
     
    Последнее редактирование: 17 май 2017
    Guest и shestale нравится это.
  13. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.124
    Симпатии:
    4.838
  14. Alien

    Alien Студенты 1 курс

    Сообщения:
    280
    Симпатии:
    16
    Я не пойму что мешает разработчикам создать генератор имён которые больше к примеру 32 знаков для проверки в песочнице или нет.
    Значит им самим нужен этот функционал. На случай к примеру если аруестует ЕвроПол или ФБР. НО ФБР такие крысы, что арестовали и стукача в LulzSec и Anonymus, а он думал ему дадут премию:Biggrin:
    Нельзя сотрудничать ни WhiteHat, ни другим с гос. структурами. Они по умолчанию настроены против. Столько примеров..., лишь бы засадить и повысить себе кресло.
    Даже элементарно, кто ищет уязвимости и сообщает компании, их арестовывают и обвиняют во взломе.
     
    Последнее редактирование: 11 сен 2017
Загрузка...
Похожие темы - Обнаружены второй третий
  1. Severnyj
    Ответов:
    0
    Просмотров:
    500
  2. Severnyj
    Ответов:
    0
    Просмотров:
    494
  3. akok
    Ответов:
    0
    Просмотров:
    1.030
  4. regist
    Ответов:
    0
    Просмотров:
    1.013
  5. лис.хвост
    Ответов:
    1
    Просмотров:
    870
  6. Sandor
    Ответов:
    0
    Просмотров:
    928

Поделиться этой страницей