Ответ в теме: Конец Света -2017(октябрь)

Главная Форумы Общие темы Конец Света -2017(октябрь) Ответ в теме: Конец Света -2017(октябрь)

#4805

Termizloy
Участник

Wana Decrypt0r

Минувшая пятница, а так же последовавшие за ней выходные, запомнятся надолго не только ИБ-экспертам, но и пользователям по всему миру. Информационная безопасность неожиданно стала темой номер один во всех СМИ мира, и «благодарить» за это нужно шифровальщик Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

12 мая 2017 года вымогатель атаковал сотни компаний и учреждений по всему миру, а также не обошел вниманием простых пользователей. В настоящее время количество заражений уже равняется примерно 200 000, и наблюдать за распространением малвари можно при помощи этой карты, в режиме реальном времени.
Проблема заключается в том, что шифровальщик распространяется через брешь в SMBv1, а также применяет эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR. По сути, чтобы заразиться Wana Decrypt0r, достаточно просто включить уязвимый компьютер. Жертве не нужно посещать вредоносные сайты и открывать подозрительные почтовые вложения. Проникнув в систему, малварь шифрует файлы пользователя, заменяя их разрешение на .WNCRY и требует выкуп в размере $300-600 в биткоин эквиваленте.

При этом патч для уязвимости, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года. Фактически жертвами атак становятся пользователи и организации, которые не следят за безопасностью и обновлением своих систем. Всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно. Также, учитывая серьезность ситуации, в минувшие выходные компания Microsoft представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.

Напомню, что в выходные «вымогательский апокалипсис», охвативший весь мир, сумел временно приостановить британский исследователь-одиночка, известный под ником MalwareTech. Он практически случайно обнаружил в коде WannaCry механизм «аварийного отключения». Как оказалось, перед началом работы малварь обращается к домену juqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. Зарегистрировав домен всего за несколько фунтов, MalwareTech дал начало целой sinkhole-операции и сумел временно остановить вымогателя.

Новые версии

Однако начинается понедельник, и эксперты предупреждают, что с выходом людей на работу нас явно ожидает новый виток атак. Так, исполнительный директор Европола Роберт Вейнрайт (Robert Wainwright) заявил журналистам ITV, что количество атак должно начать расти утром понедельника, а правительство Индонезии опубликовало специальное предупреждение, связанное с началом рабочей недели.

Откуда взяться атакам, если эксперты задействовали «аварийное отключение» шифровальщика? Дело в том, что уже в воскресенье появились сообщения об обнаружении новых версий WannaCry.

Первым об обнаружении новой версии шифровальщика, без аварийного «рубильника», в своем Twitter сообщил эксперт «Лаборатории Касперского» Костин Райю (Costin Raiu). Чуть позже исследователь удалил эти сообщения и объяснил, что поспешил с выводами.
https://xakep.ru/2017/05/15/wana-decrypt0r-new-versions/

Подробнее