• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Обнаружены второй и третий варианты WannaCry, в том числе без стоп-крана

akok

Команда форума
Администратор
Сообщения
15,000
Симпатии
12,269
#1
Пятничная атака криптовымогателя WannaCry (WannaCrypt) поразила более 200 000 компьютеров в 150 странах, сказал руководитель Европола Роб Уэйнрайт (Rob Wainwright). Атака стала «беспрецедентной по своему размеру», а полный масштаб заражений пока неизвестен. По словам Уэйнрайта, многие пользователи найдут свои компьютеры заражёнными в понедельник утром. Среди стран наиболее пострадали Россия и Великобритания.

Как известно, WannaCry (WannaCrypt) сочетает функциональность криптовымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows и эксплойт от АНБ. По счастливой случайности глобальное распространение инфекции удалось остановить в тот же день, когда она началась.

Британский специалист по безопасности, автор блога MalwareTech Blog, оперативно зарегистрировал доменное имя, к которому обращалась каждая версия криптовымогателя перед выполнением вредоносного кода. Позже выяснилось, что это доменное имя программа использовала в качестве «аварийного стоп-крана». Вероятно, чтобы защититься от анализа специалистами своей функциональности в виртуальной среде (песочнице).



Доменное имя iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com специально было оставлено незарегистрированным. Дело в том, что в песочнице обычно все HTTP-запросы перехватываются и по ним возвращается ответ OK с IP-адресом песочницы, чтобы изучить дальнейшие действия зловреда. В данном случае если запрос к домену возвращает успешный ответ, зловред думает, что он в песочнице, и аварийно прекращает работу. Таким образом, после регистрации доменного имени все экземпляры WannaCry во всём мире решили, что они в песочнице — и закончили работу.

Разумеется, речь идёт только о свежих заражениях, когда зловред первично запускается на исполнение.

После появления информации об «аварийном стоп-кране» в коде программы эксперты сразу выступили с предупреждениями, что расслабляться рано. Наверняка в ближайшее время можно ожидать появления новой версии криптовымогателя без подобного ограничителя. Многие предполагали, что такая версия появится на следующей неделе, но реальность оказалась хуже, чем прогнозы. Несколько часов назад хакер Мэтью Сюиш (Matthieu Suiche) из Microsoft сообщил в твиттере об обнаружении нового варианта WannaCry (WannaCrypt) с видоизменённым «стоп-краном», который проверял уже другой домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com перед выполнением. Экземпляр прислал коллега @benkow_.



Хакер моментально подал заявку на этот домен, чтобы остановить вторую волну атаки.



Общий механизм работы криптовымогателя и механизм обнаружения песочницы остался прежним. Как и раньше, в случае успешного запроса к доменному имени выполнение программы прекращается. Но теперь есть основания предполагать, что существует несколько вариантов зловреда с разными доменными именами, прошитыми в коде.

Сюиш опубликовал свой анализ новых вариантов WannaCry. по его словам, найдено два новых варианта. Первый из них Мэтью блокировал путём регистрации доменного имени, а второй вариант криптовымогателя не шифрует файлы из-за повреждённого архива.

Мэтью Сюиш связался с коллегой @MalwareTechBlog, чтобы перенаправить с нового домена на общий sinkhole-сервер, который собирает запросы от ботов и обновляет интерактивную карту заражений.

Что касается второго варианта с повреждённым архивом, то его обнаружили специалисты антивирусной компании «Лаборатория Касперского» — и он работает без выключателя. Хотя непосредственно шифрования файлов не выполняется из-за повреждения, но червь успешно распространяется по Сети — и к настоящему времени поразил большое количество компьютеров.

Таким образом, к настоящему времени известно три варианта червя-криптовымогателя WannaCry (WannaCrypt):

Name : 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
LastWriteTime : 5/14/2017 5:56:00 PM
MD5 : D724D8CC6420F06E8A48752F0DA11C66
SHA2 : 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
Length : 3723264
Name : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
LastWriteTime : 5/13/2017 7:26:44 AM
MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
SHA2 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
Length : 3723264
Name : 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
LastWriteTime : 5/14/2017 4:11:45 PM
MD5 : D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA2 : 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
Length : 3723264

«Лаборатория Касперского» сказала, что второй вариант с новым доменом в качестве стоп-крана впервые обнаружен у пользователей антивируса сегодня ночью в 01:53:26 GMT (2017–05–14 01:53:26.0).

Третий вариант «Лаборатория Касперского» обнаружила первой — и там выключатель отстутствует. К счастью, этот вариант не может извлечь свои исполняемые файлы из архива.



Третий вариант без выключателя впервые обнаружен в 2017–05–14 13:05:36. Заражений от него нет ни одного.

Конечно, история не заканчивается на этом. Самое массовое заражение криптовымогателями только начинается. Наверняка можно ожидать новых вариантов WannaCry (WannaCrypt), которе будут функционировать как положено. Пока что мы получили только временную передышку.

Напоминаем, что Microsoft оперативно выпустила патчи для исправления уязвимости:


Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

Код:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
geektimes.ru
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#2
Файлик попался Trojan-Ransom.Win32.Wanna.m, в обзорах такого детекта ещё нет и на вирустотал до этого ни разу не проверялся, так что возможно как раз от свежей вариации вируса :).
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#3
Самая первая известная Dr.Web модификация троянца (Wanna Decryptor 1.0) поступила на анализ в вирусную лабораторию «Доктор Веб» 27 марта 2017 года в 07:20 и в тот же день в 11:51 была добавлена в вирусные базы.

Шифровальщик Trojan.Encoder.11432, известный как WannaCry, начал активно распространяться в пятницу вечером, а к выходным поразил компьютеры крупнейших организаций по всему миру.

«Доктор Веб» получил его образец 12 мая в 10:45 утра и добавил в вирусные базы Dr.Web.

До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Сам троянец представляет собой многокомпонентный шифровальщик, получивший наименование Trojan.Encoder.11432. Он включает в себя четыре компонента: сетевого червя, дроппер шифровальщика, шифровальщик и авторский расшифровщик.

Trojan.Encoder.11432 шифрует файлы на зараженном компьютере и требует выкуп за расшифровку. Деньги необходимо перевести на указанные электронные кошельки в криптовалюте Bitcoin.

Причиной массового распространения троянца стала уязвимость протокола SMB. Этой уязвимости подвержены все операционные системы Windows младше 10 версии. Для наших пользователей Trojan.Encoder.11432 не представлял угрозы с самого начала своего распространения.
 

akok

Команда форума
Администратор
Сообщения
15,000
Симпатии
12,269
#4
Да похоже опять начинается
upload_2017-5-16_0-16-40.png
Насколько я понимаю, на вчера было уже 452 образца этой заразы
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#5
До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.
Это с субботы или с какого числа? Сделали обзор одним из последних не написав ничего нового. И ещё пытаются внушить, что их антивирус и до этого этот вирус видел. Если бы бы он его видел до начала эпидемии (не путать начала эпидемии со временем, когда человек поправил название сигнатуры добавленной роботом по факту), то почему так много пострадавших у кого по логам стоит др. Веб?

Можно не отвечать, сам понимаю... маркетинг.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#7
Это они видно судят по тому, что она на форум доктора Веба не обращались, точней только один обратился. Зато среди обратившихся на другие форумы их было много. Либо сознательно пытаются внушить иллюзию.
Можно не отвечать, сам понимаю... маркетинг.
Вон Nod тоже пропускал вирус, зато сейчас добавил сигнатуры даже на текстовые файлы и картинки с требованием выкупа и устроил акцию на продажу со скидкой 10%
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#8
А каким ранним числом пострадали пользователи дрвеб ?
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#10
Это они видно судят по тому, что она на форум доктора Веба не обращались
Скорее всего некоммерческие лицензии. По ним поддержки нет и вероятно не всё работает как надо. Только они это не афишируют.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#11
Phoenix, я понимаю, что вы большой фанат др. Веба, но не надо пытаться доказать то чего нет.
Не хочется здесь обсуждать пиратские лицензии тем более это запрещено, но некоммерческие лицензии это просто означает, что они не были куплены (а были получены по акции/позаимствованы или что-то другое). Но при этом они всё равно были выпущены др. Вебом и технически ничем не отличаются от купленной. Так что антивирус работает точно также. А то что обращались на др. форум всего лишь означает, что он попал в индекс Яндекса и Гугла и при поиске по этой проблеме выдавало его, а не форум Веба.
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#12
я понимаю, что вы большой фанат др. Веба, но не надо пытаться доказать то чего нет.
Я не фанат, а скорее знаток. Говорю что знаю. Пробные лицензии и подарочные (акции), просто дают право на скидку. Такие клиенты не обслуживаются. Если человек, купил продукт, то он считает, что его должны обслужить. (абы куда обращаться вряд ли станут) Некоммерческие продукты везде работают с ограничениями. Насколько я видел, на форуме обратились тестеры, которые сам запустили трояна.


Trojan.Encoder.11432

Добавлен в вирусную базу Dr.Web: 2017-05-12
Описание добавлено: 2017-05-16

SHA1:
  • Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
  • Дроппер энкодера: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
  • Энкодер: 7d36a6aa8cb6b504ee9213c200c831eb8d4ef26b
  • Авторский декодер: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
Многокомпонентный сетевой червь, известный под именем WannaCry. Написан на языке C/C++, собран в среде разработки MS Visual Studio, не упакован. Содержит в собственном теле две динамические библиотеки. При запуске пытается отправить GET-запрос на удаленный сервер
Код:
httр://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
без кэширования результатов. Если получает ответ от сервера, завершает работу.

Запускается как системная служба Windows с именем "mssecsvc2.0" (видимое имя – "Microsoft Security Center (2.0) Service"). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис "mssecsvc2.0" и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Дроппер
Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:
  • b.wnry - файл с обоями Рабочего стола Windows;
  • c.wnry - файл содержит адреса onion-серверов и адрес BTC-кошелька;
  • t.wnry - зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;
  • s.wnry – архив, содержащий ПО для работы с сетью Tor.
После запуска пытается установить себя в следующие папки:
  • %SYSDRIVE%\ProgramData (если папка существует)
  • %SYSDRIVE%\Intel
  • %SYSDRIVE%
  • %TEMP%
При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe.

Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора ("cmd.exe /c path") и запускает эту службу. В случае неудачи запускается как обычное приложение.

При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.

Троянец-шифровальщик
Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.

В зашифрованном файле сохраняется:

  • маркер (8 байт): WANACRY!;
  • длина зашифрованного ключа (4 байта);
  • зашифрованный ключ (256 байт);
  • информация о типе шифрования (4 байта);
  • исходный размер файла (8 байт);
  • зашифрованные данные.
В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.

Шифровальщик содержит авторский декодер, который выполняет следующие функции:

  • установка обоев рабочего стола из файла b.wnry;
  • удаление теневых копий;
  • отключение функции восстановления системы;
  • распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.
Декодер способен воспринимать следующие параметры командной строки (без аргументов):
  • fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
  • co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;
  • vs — удаляет теневые копии и отключает восстановление системы.
Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной.
Новость о троянце
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#13

Alien

Пользователь
Сообщения
413
Симпатии
54
#14
Я не пойму что мешает разработчикам создать генератор имён которые больше к примеру 32 знаков для проверки в песочнице или нет.
Значит им самим нужен этот функционал. На случай к примеру если аруестует ЕвроПол или ФБР. НО ФБР такие крысы, что арестовали и стукача в LulzSec и Anonymus, а он думал ему дадут премию:Biggrin:
Нельзя сотрудничать ни WhiteHat, ни другим с гос. структурами. Они по умолчанию настроены против. Столько примеров..., лишь бы засадить и повысить себе кресло.
Даже элементарно, кто ищет уязвимости и сообщает компании, их арестовывают и обвиняют во взломе.
 
Последнее редактирование:
Сверху Снизу