[You must be registered and logged in to see this image.]Тия дни всички
[You must be registered and logged in to see this link.] опасния рансъмуер WannaCry/Wcry/WannaCrypt, който този петък зарази десетки хиляди компютри по целия свят, но след това неговото разпространение внезапно се прекрати.
Microsoft веднага публикува пачове за запушване на тази уязвимост:
Microsoft Security Bulletin MS17-010
Пач за старите операционни системи (Windows XP, Windows Server 2003R2)
Проблемът може да бъде решен и чрез цялостното изключване поддръжката на SMBv1:
- Код:
-
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Според последна информация, рансъмуерът е поразил над 75 000 компютри работещи под управлението на операционната система Windows, минимум в 99 държави от целия свят. Но мащабите на тази компютърна зараза биха били десетки пъти по-големи, ако не бе младият британски специалист по информационна безопасност, автор на блога MalwareTech Blog, който съобщи как са се развили събитията.
Героят е 22-годишен хакер от Великобритания, името на който все още не е известно. Той написа в своя блог, че към 10:00 часа в петък се е логнал в националната система за наблюдение на киберзаплахите, за да провери разпространението на банковия вирус Emotet – най-значителното събитие през последните дни. Следващата проверка направил към 14:30 часа и видял редица съобщения за заразяването на много британски болници и медицински системи от неизвестен рансъмуер.
Хакерът бързо намерил екземпляр от опасния рансъмуер и го стартирал във виртуална машина. Оказало се, че вирусът изпраща заявки и запитвания към нерегистриран домейн. Интересно.
[You must be registered and logged in to see this image.]Малко след това всички видяхме статистиката на Cisco Umbrella, която показа, че запитванията към този домейн са започнали в петък 8:00 сутринта, а след това нарастват лавинообразно.
Последвалите събития са известни: блогърът регистрира за 8 паунда ($19,69) собствен домейн. Той сподели в блога си, че това е стандартна практика, понеже има немалка вероятност и злоумишлениците да започнат да използват същия домейн за команден сървър или за междинно звено към C2C сървър. По този начин отвътре се изучава работата на ботнетите и вирусите, съставят се графики за тяхното разпространение по райони и т.н.
Когато след регистрацията започва обновяването на DNS записите, блогърът започна наблюдението и изучаването на рансъмуера. Оказа се, че след криптирането на потребителските файлове, вирусът започва да сканира случайни IP адреси през порт 445 (използва се SMB). Това говори, че WannaCrypt навярно е свързан експлойта на АНС за SMB, който преди месец бе публикуван със свободен достъп от хакерската група ShadowBrokers, откраднала експлойта от сървърите на АНС.
Тази идея се оказа добра – огромен брой компютри започнаха да се свързват с нови домейн и британецът започна да съставя картата на заразяването по списъка с IP адреси.
[You must be registered and logged in to see this image.]Натрапва се изводът, че именно компютърът на 22-годишният блогър е станал отговорен за заразяването и криптирането на много компютри, но се оказа точно обратното: именно регистрираният нов домейн успя да спре разпространението на рансъмуера.
Още петък вечерта в уеб-пространството започна разпространението на кода на рансъмуера, декомпилиран от други специалисти:
[You must be registered and logged in to see this image.]Скрийншотът показва, че вирусът осъществява HTTP запитване към нерегистриран домейн.
Ако запитването е успешно, рансъмуерът прекратява атаката. Ако запитването е неуспешно се стартира изпълнението на кода за криптиране на файловете и започва тяхното заключване.
Въоръжен с тази информация, блогърът стартирал своята виртуална среда, стартирал заразата и нищо. Рансъмуерът спрял да функционира.
По-подробният анализ показа, че във вируса некоректно е реализирана защитата от анализ на програмата във виртуална среда. Подобна техника използва троянецът Necurs, но в този рансъмуер, логиката на работа във виртуална машина е объркана. И съответно, ако запитването към външния домейн връща положителен отговор, вирусът счита, че се намира във виртуална среда и моментално прекратява своята работа.
В случая с е получило лавинообразно прекратяване работата на този рансъмуер чрез внедряване на външен домейн. Може да се каже, че съвсем случайно един човек успя да спре разпространението на глобална вирусна инфекция, за която вчера и днес се говори във всички новини.
Само че не бива да се отпускаме. Този път имаме късмет, но следващия път подобна грешка няма да има и апокалипсисът ще се окаже истински – почти всеки компютър със заключени, добре криптирани файлове. Това бе нещо като тест. Новите версии със сигурност ще се появят само след няколко дни.
/kaldata.com