[You must be registered and logged in to see this image.]Петъчната атака на рансъмуера WannaCry (WannaCrypt) порази над 200 000 компютъра в 150 държави, каза ръководителят на Европол Роб Уейнрайт (Rob Wainwright). Атаката се оказа „безпрецедентна по своя размер“, а цялостният мащаб на заразата все още е неизвестен. Според Уейнрайт, този понеделник мнозина ще намерят компютрите си заразени.
Вече знаем, че WannaCry (WannaCrypt) съчетава функционалността на рансъмуер и червей, разпространяващ се чрез случайни IP адреси след заразяване на компютърна система, използвайки критична уязвимост във всички версии на ОС Windows плюс експлойт на АНС. По щастлива случайност, глобалното заразяване бе спряно в същия ден, когато започна. Британски специалист успя да открие авариен стопиращ механизъм в този рансъмуер, предназначен да скрие вируса от стартиране и изследване във виртуална среда.
[You must be registered and logged in to see this image.]След появата на информацията за стоп-механизма, експертите посъветваха всички да не се отпускат, понеже е напълно реална възможността да се появи нова версия на вируса без стопиращ механизъм.
Повечето експерти считаха, че новата версия ще се появи след около седмица, но реалността се оказа много по-страшна от прогнозите. Само преди няколко часа хакерът Матю Суиш (Matthieu Suiche) съобщи в Twitter за нова версия на WannaCry (WannaCrypt) с променен стопиращ механизъм, проверяващ преди стартирането, вече друг домейн – ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, а не домейнното име iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, предложено от британския експерт.
[You must be registered and logged in to see this image.]Хакерът моментално подаде заявка за регистрирането на този домейн, за да спре втората вълна от атаки.
[You must be registered and logged in to see this image.]Начинът на работа е същият – при успешно изпълнена заявка към домейнното име, работата на вируса се прекратява. Но сега се използват няколко варианта на рансъмуера, с различни домейнни имена в кода.
Суиш публикува своя анализ на новите варианти на WannaCry, за да помогне на всички в борбата срещу този коварен вирус. Той съобщи, че е открил две нови версии на WannaCry. Матю е блокирал първия чрез регистрация на въпросното домейнно име, докато втората версия не криптира файловете поради повреден архиватор.
Матю Суиш заедно с колегата си от @MalwareTechBlog, изпратиха информацията от регистрирания домейн към общ sinkhole сървър, който натрупва информацията чрез ботове и съставя и обновява интерактивна карта на заразените компютри.
Третата версия на WannaCry бе разкрита и от Kaspersky Lab. Той също няма стоп-механизъм. Този вирус е още по-особен. Той не може да криптира файловете поради грешка в кода на криптиращия-архивиращ алгоритъм, но този червей вече скрито се разпространи в Глобалната мрежа и вече е заразил огромен брой компютри.
[You must be registered and logged in to see this image.]Да обобщим:
Досега са известни три версии на червея-рансъмуер WannaCry (WannaCrypt):Name : 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
LastWriteTime : 5/14/2017 5:56:00 PM
MD5 : D724D8CC6420F06E8A48752F0DA11C66
SHA2 : 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
Length : 3723264
Name : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
LastWriteTime : 5/13/2017 7:26:44 AM
MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
SHA2 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
Length : 3723264
Name : 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
LastWriteTime : 5/14/2017 4:11:45 PM
MD5 : D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA2 : 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
Length : 3723264Естествено, нищо още не е приключило. Масовата зараза с този рансъмуер едва сега започва. Със сигурност ще има нови версии на WannaCry (WannaCrypt), без никакви логически грешки в стоп-механизма и криптирането, както и с допълнителни още по-коварни възможности. Почти всички експерти по сигурността считат, че това досега бе временно облекчение. Малка почивка.
Да напомним още веднъж, че Microsoft спешно публикува обновявания, дори и за Windows XP, за отстраняване на тази уязвимост:Microsoft Security Bulletin MS17-010
Обновяване за старите операционни системи (Windows XP, Winows Server 2003R2)
Уязвимостта може да бъде запушена в ОС Windows 8.1 и по-новите версии чрез изключване поддръжката на SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1ProtocolНе бива да забравяме и
[You must be registered and logged in to see this link.] на ГДБОП за предпазване от опасния вирус-изнудвач.
/kaldata.com
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
