Ransomware day: массовое заражение Wana Decrypt0r

[dartraiden]

Компьютеры МВД атаковал вирус-шифровальщик, рассказал RNS основатель и глава Group-IB Илья Сачков. Одновременно вирус поразил офисные компьютеры российского оператора связи «Мегафон»

[ValdikSS]

https://geektimes.ru/post/289115/

[opanas]

Более полное исследование (но на английском, правда) с практическими выводами.
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

[nick_volynkin]

Команды в конце статьи переформатируйте, пожалуйста, как код:

```
код
```

А то сейчас там, например, автозамена кавычек на «» происходит, вряд ли вы это имели в виду.

[LukaSafonov]

Спасибо, поправил.

[wych-elm]

У меня при вставке в консоль кавычки заменились на <> ```name=<Block_TCP-135>```, но все сработало.

[dsrk_dev]

ходят слухи что всем уникальную сумму выстовляет. ну и так-же можно с авторами связаться, там специальная конопочка есть

[neomedved]

Сумма у всех $300.

[neomedved]

Да, но она привязана к курсу биткоина, а не к конкретному компьютеру.

[paluke]

А зачем им определять, кто заплатил а кто нет? Только не говорите, что они заплатившим что-то расшифровывают.

[Ghool]

Ну, для них это сложностей не составляет а шанс что остальные заплатят повышает

[questor]

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) May 12, 2017

Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

https://meduza.io/news/2017/05/13/rasprostranenie-virusa-vymogatelya-udalos-priostanovit-blagodarya-registratsii-domena-iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea-com

[lostpassword]

Если это правда — очень круто!

[rexen]

Не один. Но это не повод.

[lightman]

То что вы не видите вирусов, увы, не значит, что у вас их нет.

[Alexander_Tamirov]

А Windows Defender у Вас, что отключен?

[Germanets]

Не знаю уж, как у al5dy на компьютере, но в оследние несколько лет у меня на всех личных компьютерах он отключен сразу после установки, просто потому, что он за предыдущий опыт использования имел свойство неслабо тормозить систему при проверках, блокировал кейгены и актииваторы и при этом ни разу не выдал ни одного дельного предупреждения.

[Alexander_Tamirov]

Да, отзывы о нем до прошлого лета были плохие, он, кстати, антивирусом формально и не был. Но по отзывам в 10 версии Windows всё поменялось, Defender стал полноценным антивирусом, уже предустановленным в системе с обновлением сигнатур и т. п., я например, от Каперского пока отказался в его пользу.

[sens_boston]

блокировал кейгены и актииваторы

А без воровства жить не пробовали?

[Alexander_Tamirov]

блокировал кейгены и актииваторы

Мда, даже не дочитал до этого момента, по диагонали потому что… Ощущение, что ты украл, наверное у товарищей способствует улучшению настроения, потенции и т. п… На самом деле не понимаю, сейчас красть нормальному человеку ничего не нужно (да так и всегда, наверное, было)
Кстати, братаны, не впадлу кому, кейгены для Blender, Gimp, Inkscape, ну дайте, что ли, так хочется попробовать…

[xPomaHx]

У меня отключен дефендер, брандмауер, юак, есть внешний ип работаю под админом, и не разу не ловил не 1 вируса с выхода вин 7, и не совсем понимаю почему заминусили чела, я согласен что если ты хоть чуть чуть шаришь как попадают вирусы то можно смело всё отключать.

[usheynet]

на win без антивирусника

никогда не видел вирусов

Логично.

[mikevmk]

Я, конечно, сочувствую жертвам, осуждаю преступников и всё такое, но в целом я считаю это событие весьма положительным в долгосрочной перспективе, потому что когда обыватель, бизнесмен, чиновник выложит наконец из своего кармана деньги за то, что АНБ видите ли «эффективно» «боролась» с «терроризмом», он наконец поймёт о чём говорил Сноуден, сопоставит собственное положение, в том числе материальное, с приватностью, безоговорочной защитой данных и т.д.

А это, в свою очередь, может послужить толчком к подвижкам общественного мнения, особенно в США — родине АНБ, и в итоге может привести к новому цифровому законодательству, которое положит конец (или, по крайней мере, выведет за рамки закона) подобную деятельность по «защите» граждан.

Надеюсь это всем послужит уроком

[turbanoff]

Вы предлагаете запретить искать дыры в приложениях? Или я неправильно вас понял…

[mikevmk]

Мне кажется, что не лишены оснований опасения, что многие такие удачные дыры оставлены разработчиками по прямому указанию спецслужб

[turbanoff]

Это вряд ли. Зачем бы тогда они раскрывали детали уязвимости и выпускали исправления?
При чём там же не какая-то хитро спрятанная дырка. А обычный buffer overflow.

[taumag]

Так если известно об уязвимости, то будет подозрительно не выпустить обновление.
К тому же они могли хакнуть сервера M$ и добавлять дыры в исходники напрямую, либо найти человека в M$, который их добавит.

[ElectroGuard]

Интересно, чем криптует? Может быть имеет смысле запрещать крипторы без админских прав запускать? Слишком много использующих их малваря стало.
В эту 'волну' не попали, но 'подцепили' криптор по почте. Где-то года два назад.

[ElectroGuard]

Коментарии к минусам будут, или, традиционно, фига в кармане?

[lostpassword]

Я не голосовал, но полагаю, что у вас как-то слишком непонятно идея изложена.
Что такое "криптор"? По-вашему, все модификации шифровальщиков используют одну и ту же утилиту для шифрования?
Практика показывает, что нет: для зашифровывания файлов использовались и функции WinAPI (ну или что-то подобное), и свободно распространяемая утилита GPG, и самописные алгоритмы.
Что из перечисленного вы предлагаете "запретить запускать" и — самое интересное — как вы планируете определять в случае самописной реализации алгоритма, что она производит шифрование, а не какую-то другую легитимную операцию?

[ElectroGuard]

Часто, насколько я знаю, шифровка идёт 'обычными' шифровщиками — то есть крипторами. То есть — распознать сам шифровщик как малварь часто не представляется возможным потому, что шифровщик не является малварем. А вот 'обвязка' — является. В нашем случае было так: малварь (скрипт) выкачал локально 'обычный' шифровщик и им покриптовал документы. Так вот. Я предлагаю их эвристически распознавать (как те же инсталляторы) и запускать под админскими правами. Это бы тотально ограничило проблему.

[lostpassword]

Тут я с вами не соглашусь: на мой взгляд, это происходит не часто, а редко; в основной же массе криптовымогатели используют собственный исполняемый файл, уникальный для каждой атаки. Соответственно и запретить его нереально.
Запрет легитимных программ для осуществления шифрования может слегка улучшить ситуацию, но к тотальному решению проблемы, ИМХО, и близко не подведёт.

[synedra]

Минусы не мои, но рискну предположить, что «запрещать крипторы» на практике нереализуемо иначе как через «запрещать любой код не из вайт-листа, потому что хрен ты иначе поймёшь, шифрует он там чего или не шифрует». Ну и вообще на любую борьбу с криптографией на хабре традиционно реагируют нервно.

[technik]

Не понимаю, установленный антивирус Comodo Internet Security на Win 7 с заблокированными всеми портами и ручным прописанием доступа на программы в интернет достаточно?

[lostpassword]

Думаю, нет — если пользователь сам запустит полученный по почте или скачанный из Сети файл.

[VitGun]

Меня смущает фраза «для доставки вредоносного кода на Windows системы». Т.е. можно просто выйти в интернет со свежеустановленной Win 7 без мартовских апдейтов и получить шифровальщик на шару? Без регистрации и смс, без открытия письма от «контрагента», запуска исполняемых файлов, батников и прочего?

[BenjaminB]

Да это просто ужас какой то эти вымогатели повсюду, я даже не знаю что делать защиты не помогают, везде где смотрю мало толковых советов, но вот вчера наткнулся на как раз на пост на пирлист — правад на английском https://www.peerlyst.com/posts/the-world-is-under-attack-from-the-most-damaging-malware-ever-spreads-using-nsa-vulnerability-claus-cramon?trk=search_page_search_result — там обычно такое одни из первых выкладывают, так начал лазить, как раз и нашел пару дельных советов. Надо бизнес аккаунт от microsoft купить и сделать туда резервные копии, а так как историю файлов он запоминает автоматом, потом нет никакой проблемы вернуть файлы обратно.

[Termux]

Кашмарский проанализировал утечку и перечислил патчи, причём, это было
давольно-таки давно уже:

http://support.kaspersky.com/shadowbrokers

И список пропатченых уязвимостей довольно большой

Видимо, надо ожидать ещё модификаций шифровальщиков
семейства не только WannaCry WannaDecrypt0r Ransom:Win32.WannaCrypt EternalRomance

но и эксплуатирующие другие (следующие) уязвимости из списка АНБ

а потом дойдёт очередь и до iPhone/Android

[uranik]

Вообще ценовая политика у вирусопейсателей непонятная, опросил наших бухгалтеров, говорят за 300 баксов лучше уволятся, а если рублей 100-200 сделать то заплатить и забыть, все равно сами виноваты. В итоге они получается собрали скажем 300$*1000 богатеньких, а могли бы 1000000*100руб не напрягаясь.

[badfiles]

Могли бы, если бы давали декриптор. А дают ли?