Вирус(червь) вымогатель WannaCry

В мае 2017 года стало известно о распространении вируса-вымогателя WannaCry в 150 странах мира, в том числе в России. Технология распространения вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты (однако данный механизм может использоваться для распространения вируса), ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходит через сетевую уязвимость Microsoft Security Bulletin MS17-010. Вирус шифрует файлы на зараженном компьютере, после чего требует отправить злоумышленникам от $300 до $600 в биткоинах. Заражению подвержены компьютеры, где не установлены обновления Windows и не стоит свежий антивирус. Поэтому, пользователям необходимо быть предельно внимательными при открытии файлов полученных из не известных источников, при аномальной работе компьютера и проч.

Когда WannaCry появляется в системе, он сначала импортирует жесткий ключ RSA, который используется для дешифрования компонента шифрования файлов, хранящегося в файле t.wnry. После этого троян-вымогатель генерирует новый закрытый ключ RSA. Этот ключ RSA затем передается на сервер управления вредоносной программой, а копия сгенерированного открытого ключа сохраняется в системе.

Затем шифровальщик анализирует все доступные диски и сетевые ресурсы и выполняет поиск файлов с одним из следующих расширений:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

После этого вредоносная программа создает новый 128-разрядный ключ AES для каждого найденного файла, который будет зашифрован с использованием открытого ключа RSA, сгенерированного ранее. Ключ AES с шифрованным RSA хранится в заголовке зашифрованного файла вместе с файлом-маркером "WANACRY!". Затем ключ AES используется для шифрования содержимого файла.

К сожалению, в случае с WannaCry , нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному шифровальщиком.

Признаки заражения

Реестр

HKLM\SOFTWARE\WanaCrypt0r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “” <каталог шифровальщика>\tasksche.exe””

HKLM\SOFTWARE\WanaCrypt0r\wd: “<каталог шифровальщика>”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<каталог шифровальщика>\@WanaDecryptor@.bmp”

Файловая система

@Please_Read_Me@.txt – размещен во всех папках с зашифрованными файлами

@WanaDecryptor@.exe.lnk – размещен во всех папках с зашифрованными файлами

%DESKTOP%\@WanaDecryptor@.bmp

%DESKTOP%\@WanaDecryptor@.exe

%APPDATA%\tor\cached-certs

%APPDATA%\tor\cached-microdesc-consensus

%APPDATA%\tor\cached-microdescs.new

%APPDATA%\tor\lock

%APPDATA%\tor\state

<каталог шифровальщика>{PAGE_TEXT}000000.eky

<каталог шифровальщика>{PAGE_TEXT}000000.pky

<каталог шифровальщика>{PAGE_TEXT}000000.res

<каталог шифровальщика>\@WanaDecryptor@.bmp

<каталог шифровальщика>\@WanaDecryptor@.exe

<каталог шифровальщика>\b.wnry

<каталог шифровальщика>\c.wnry

<каталог шифровальщика>\f.wnry

<каталог шифровальщика>\msg\m_bulgarian.wnry

<каталог шифровальщика>\msg\m_chinese (simplified).wnry

<каталог шифровальщика>\msg\m_chinese (traditional).wnry

<каталог шифровальщика>\msg\m_croatian.wnry

<каталог шифровальщика>\msg\m_czech.wnry

<каталог шифровальщика>\msg\m_danish.wnry

<каталог шифровальщика>\msg\m_dutch.wnry

<каталог шифровальщика>\msg\m_english.wnry

<каталог шифровальщика>\msg\m_filipino.wnry

<каталог шифровальщика>\msg\m_finnish.wnry

<каталог шифровальщика>\msg\m_french.wnry

<каталог шифровальщика>\msg\m_german.wnry

<каталог шифровальщика>\msg\m_greek.wnry

<каталог шифровальщика>\msg\m_indonesian.wnry

<каталог шифровальщика>\msg\m_italian.wnry

<каталог шифровальщика>\msg\m_japanese.wnry

<каталог шифровальщика>\msg\m_korean.wnry

<каталог шифровальщика>\msg\m_latvian.wnry

<каталог шифровальщика>\msg\m_norwegian.wnry

<каталог шифровальщика>\msg\m_polish.wnry

<каталог шифровальщика>\msg\m_portuguese.wnry

<каталог шифровальщика>\msg\m_romanian.wnry

<каталог шифровальщика>\msg\m_russian.wnry

<каталог шифровальщика>\msg\m_slovak.wnry

<каталог шифровальщика>\msg\m_spanish.wnry

<каталог шифровальщика>\msg\m_swedish.wnry

<каталог шифровальщика>\msg\m_turkish.wnry

<каталог шифровальщика>\msg\m_vietnamese.wnry

<каталог шифровальщика>\r.wnry

<каталог шифровальщика>\s.wnry

<каталог шифровальщика>\t.wnry

<каталог шифровальщика>\TaskData\Tor\libeay32.dll

<каталог шифровальщика>\TaskData\Tor\libevent-2-0-5.dll

<каталог шифровальщика>\TaskData\Tor\libevent_core-2-0-5.dll

<каталог шифровальщика>\TaskData\Tor\libevent_extra-2-0-5.dll

<каталог шифровальщика>\TaskData\Tor\libgcc_s_sjlj-1.dll

<каталог шифровальщика>\TaskData\Tor\libssp-0.dll

<каталог шифровальщика>\TaskData\Tor\ssleay32.dll

<каталог шифровальщика>\TaskData\Tor\taskhsvc.exe

<каталог шифровальщика>\TaskData\Tor\tor.exe

<каталог шифровальщика>\TaskData\Tor\zlib1.dll

<каталог шифровальщика>\taskdl.exe

<каталог шифровальщика>\taskse.exe

<каталог шифровальщика>\u.wnry

C:\@WanaDecryptor@.exe

Как защититься от WanaDecryptor?

В качестве экстренной меры профилактики заражения убедитесь, что на компьютерах и серверах Windows установлены последние обновления безопасности. Учитывая масштабы атаки, Microsoft даже предприняла неожиданный шаг и выпустила обновления безопасности для “неподдерживаемых систем”, в частности для Windows XP и Windows Server 2003.

Лучше защитой от заражения остается надежная и продуманная стратегия резервного копирования. Единственный способ вернуть доступ к файлам - это заплатить выкуп киберпреступникам или восстановить резервную копию. Также убедитесь, что в системе установлены критические обновления системы, которые помогают серьезно улучшить общую безопасность системы. В частности, уязвимость SMBv1, которую эксплуатирует ETERNALBLUE, была исправлена патчем, который вышел два месяца назад.

Microsoft выпустила патч/обновление, помогающий защитится от вируса (однако он не защитит при локальном заражении). Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB.

Установка MS17-010 не требуется

Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:

Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

Установка MS17-010 требуется

Установка патча MS17-010 требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:

Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

Для систем

Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.

Требуется установка обновления KB4012598.

По материалам сайта www.comss.ru