вторник, 30 мая 2017 г.

Вирус Wana Crypt0r 2.0 (WannaCry)

"Лаборатория Касперского" на данный момент зафиксировала 45 тыс. попыток хакеров атаковать компьютеры по всему миру с помощью вируса-шифровальщика, получившего название WannaCry (Wanna Decryptor). Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Все решения "Лаборатории Касперского" детектируют данный руткит как: #вирус #шифровальщик #systen #уязвимость

MEM:Trojan.Win64.EquationDrug.gen

Как от этого защититься? Установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость.

Каталог обновлений Microsoft:

Windows XP: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...
Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/softwa...
Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...
Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...
Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Вирус распространяется через 445 порт (его использует samba, служба доступа к файлам), эксплуатирует уязвимость в SMBv1 протоколе (эту устаревшую версию можно отключить отдельно: https://support.microsoft.com/en-us/help/2696547/how-to-enab...).

Можно скачать в: Файлы → Программы → Дополнения к ОС → Уязвимость порта 445 (обновления для Windows 10 люто огромные, до 1Гб, качать не стал).

Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети).

Если используется защита от "Лаборатории Касперского", то следует проверить наличие компонента System Watcher ("Мониторинг системы") и включить его, а также запустить задачу сканирования критических областей.

Deeperok: "Файлы, которые шифрует WannaCry (и попутно уничтожает теневые копии):
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc"

XIMERA123: "Майкрософт запретила, антивирусам глубоко внедрятся в систему еще с семерки, потому все антивирусы одинаково хороши против троянов сегодня и одинаково бесполезны против червей и вирусов что лезут из глубин системы."

MPR: "Если в двух словах, то нужно исключить прямое подключение Windows машин в сеть провайдера. Всякие там pppoe, USB свистки с йоптами все это должно стоять в промежуточной железке типа роутера или компьютера осуществляющего NAT и являющегося шлюзом в интернет. На этой железке не должно быть винды. Просто примите за правило не тыкать прямой интернет в системник и все будет хорошо."

Deeperok: "Дык уже 3 версии гуляют. И последняя - тупо шифрует все подряд."

gskm: "В одной из 3-х разновидностей этой заразы был встроен killswitch, который срабатывал на факт существования домена. Пока домен не был зарегистрирован вирус продолжал свою деятельность, как только обнаруживал, что домен зарегистрирован он прекращал дальнейшее распространение. Видимо встроили механизм остановить эпидемию. Но позже появились варианты вируса без этого механизма. А один гражданин зарегистрировал этот домен, чтобы подсчитать статистику заражений и т.о. смог остановить часть вирусов с таким механизмом. Название домена он нашел в теле вируса, но подумал, что на этот домен вирус отчитывается о заражении жертв, а оказалось что это триггер."

Tamm: "Аваст послал на@@й этот вирус без всяких обновлений винды."

Для тех, кто воспользовался командами ниже, и "вылетел" из домена:
sc config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc config mrxsmb20 start= disabled

Чтобы вернуть себя в сеть наберите команды:
sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb20 start= auto

4PDA: "Адриен Гине нашёл способ извлечь ключ для расшифровки файлов без необходимости платить выкуп в $300 злоумышленникам. Более того, утилита уже доступна для бесплатного скачивания, но прежде чем запустить её на своем компьютере, вам необходимо узнать главную особенность работы программы. ... Дело в том, что приложение Адриена Гине сканирует память пострадавшего компьютера и извлекает ключ непосредственно из системы. Данный ключ хранится лишь до момента первой перезагрузки, а значит эффективная работа утилиты возможна лишь в промежуток между заражением компьютера до его первого отключения или ребута. ... Скачать утилиту для расшифровки можно бесплатно на ⇨ GitHub."

На 4PDA опубликовали статью "Главная киберэпидемия: кому выгоден крик WannaCry?" (читать)

Журнал Хакер: "По словам специалистов Flashpoint, в основе почти всех вымогательских посланий WannaCry лежит один и тот же текст, написанный на английском и китайском языках. Так, если взять английскую версию текста и пропустить ее через Google Translate, переведя на другой язык, полученный текст будет на 96% совпадать с реальным вымогательским сообщениям, которые отображает WannaCry. По сути, английская версия текста использовалась как шаблон для создания вымогательских сообщений на других языках. Однако послание на китайском языке было написано не с помощью машинного перевода. ... Исследователи пишут, что разработчик или разработчики WannaCry определенно хорошо знают китайский язык. На это обстоятельство указывает тот факт, что вымогательское сообщение представлено в двух вариантах: один использует традиционные иероглифы, а другой упрощенные. Кроме того, вымогательское послание на китайском явно отличается от английского шаблона, и его писал человек, хорошо знакомый с тонкостями языка." (источник)

Ежедневно обновляемая статья о ⇨ WannaCry.
Онлайн-карта ⇨ заражения.
Утилита для ⇨ расшифровки (полумера от Адриена Гине).

Комментарии

comments powered by HyperComments