[You must be registered and logged in to see this image.]От миналата седмица опасността от компютърни зарази рязко нарасна: експертите по информационна сигурност предупредиха, че нов компютърен вирус се маскира като WannaCry.
Както многократно съобщихме, светът бе залят от невиждана вълна кибератаки от рансъмуера WannaCry. За разлика от много други подобни програми изнудвачи, WannaCry не се разпространява чрез фалшиви имейли, а с помощта на експлойта EternalBlue. Според специалистите, този експлойт принадлежи на АНС и миналия месец бе публикуван със свободен достъп от хакерската група The Shadow Brokers.
Още по-големи тревоги предизвиква откритието на IT експерта Мирослав Стампар (Miroslav Stampar). Експертът разкри мрежовия червей EternalRocks,
едновременно използващ цели седем уязвимости на АНС – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.
Стампар успя да засече EternalRocks в своя капан за компютърни вируси. С цел да излъже експертите, EternalRocks е маскиран като WannaCry, но има и друга дейност. Докато специалистите се занимават с блокиране на домейните за WannaCry, новият вирус незабелязано подготвя компютъра на жертвата като плацдарм за следващи атаки.
За връзка с C&C сървър EternalRocks използва
Tor. След като получи първия сигнал от червея, командният сървър отговаря чак 24 часа с изпращането на файла shadowbrokers.zip. След разархивирането на файла, червеят започва да сканира уеб-пространството за отворен порт 445. За разлика от WannaCry, в кода на новия вирус няма записан адрес на домейн, чрез който да бъде изключен.
При вече заразен компютър, инсталирането на обновяванията за WannaCry не оказват влияние и заразата продължава да действа.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]