Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.

Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.

Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.

Как удалось поймать Adylkuzz


В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.

Как распространяется Adylkuzz


Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Несмотря на то, что вирус не требует вознаграждение за расшифровку файлов, а тихо майнит «денежку», назвать его разработчиков благородными всё же сложно — компьютер продолжает находиться в составе ботнета. Как он поведёт себя в будущем, не известно.

Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может н�� него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?

UPD, появился полный перевод статьи Proofpoint о том, как они обнаружили Adylkuzz.