-
WannaCry/WannaCrypt: как защищаться
12 мая 2017 г. под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаки WannaCry.
WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяется масштабом распространения и используемыми техниками.
Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут, что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».
В Интернете появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Начальный этап атаки WannaCry приведен ниже на статичном изображении.
Анализ WannaCry
Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.
Для шифрования используется американский алгоритм AЕS с 128-битным ключом.
В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.
В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.
Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!
Признаки заражения WannaCry
Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя — Microsoft Security Center (2.0) Service).
Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.
После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить.
Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.
Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.
Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.
Эпидемию WannaCry удалось остановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к интернету.
Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe.
Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение.
Важно отметить, что троянец нацелен не только на российских пользователей — об этом говорит список поддерживаемых языков.
m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese
Автор шифровальщика неизвестен, написать его мог кто угодно, явных признаков авторства пока не обнаружено, за исключением следующей информации:
< nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
< nulldot> 0x1000ef7a, 13, Smile465666SA
< nulldot> 0x1000efc0, 19, [email protected] (ссылка для отправки email)
< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
< nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
< nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrows...2-0.2.9.10.zip
< nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
< nulldot> 0x1000f1b4, 12, 00000000.eky
< nulldot> 0x1000f270, 12, 00000000.pky
< nulldot> 0x1000f2a4, 12, 00000000.res
Защита от WannaCrypt и других шифровальщиков
Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:
- Отключить неиспользуемые сервисы, включая SMB v1.
- Выключить SMBv1 возможно используя PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false - Через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0 - Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
- Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
А если всё же он пробрался и напакостил - есть способ вернуть к жизни зашифрованные файлы? К тому же Касперский снес его исполняемый файл (куда просили ввести ключ).....