пятница, 12 мая 2017 г.

WanaCrypt0r 2.0

WanaCrypt0r 2.0 Ransomware

WannaCry: NSA Exploit Edition

WannaCry NSA EE

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
 Теперь уже известно, что обе версии WannaCry управлялись одной группой. В распространении шифровальщика участвовала группировка Lazarus (активна с 2007 года). Специалисты Symantec представили целый ряд доказательств связей между WannaCry и Lazarus. Утечка эксплойта EternalBlue позволила злоумышленникам превратить WannaCry в гораздо более мощную угрозу, чем она была до этого. Как потом оказалось, 98% инфицированных WannaCry компьютеров работали под управлением Windows 7, из них 60% - в 64-рязрядной ОС.
 В России атакам подверглись компьютеры крупных компаний и госструктур, в том числе Сбербанка, мобильного оператора «Мегафон», МВД и МЧС. Зато те российские структуры, которые подключены к государственной системе выявления и предупреждения хакерских атак, не пострадали. Всем надо сделать соответствующие выводы. 
 WannaCry использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям. Оба были опубликованы хакерами из The Shadow Brokers в начале 2017. 

⛳ Проанализировав тексты записок и сравнив их через Google-переводчик, я обнаружил, что почти все тексты переведены с английского, который был шаблонным источником перевода. И только китайский текст расходится с английским, видимо потому, что был написан с нуля. Причем в английском тексте присутствуют незначительные ляпы, которые могут говорить только о том, что для составителя шаблонного текста о выкупе английский не был родным. 
➤ Чтобы убедиться в правильности выводов об английском тексте, я предложил знакомым англоязычным специалистам посмотреть на него и получил подтверждение. Но данный факт не доказывает того, что за атакой стояли исключительно китайцы. Это верно только для текста о выкупе, который мог быть написан и на заказ. Интересно было бы в будущем получить анализ китайского текста, хотя бы в упрощенном китайском. 
➤ Русский текст о выкупе вы можете сравнить с мои переводом ниже. 

Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA/AES, а затем требует выкуп от 0.1 до 1.0 BTC, чтобы вернуть файлы. На экранах блокировки есть также указание на $300 и $600. 

Оригинальное название версии: WanaCrypt0r 2.0. Внутреннее: WanaCrypt0r. Фальш-имена: diskpart.exe, cliconfg.exe, lhdfrgui.exe и многие другие. Фальш-копирайт: Microsoft Corporation.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WcryWannaCry (WannaCryptor) > WanaCrypt0r 2.0
© Genealogy: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0

К зашифрованным файлам добавляются расширения:
.WCRY 
.WNCRY
.WNCRYT
Расширение .WNCRY — основное. 
Расширение .WNCRYT — временное. 
Расширение .WRCY — атавизм от предыдущих версий. 

Когда Wannacry шифрует файлы, он считывает информацию из исходного файла, шифрует содержимое и сохраняет его в файл с расширением .WNCRYT. После шифрования Wannacry меняет расширение .WNCRYT на .WNCRY и удаляет исходный файл. 

Всплеск активности этого крипто-вымогателя пришёлся на первую половину мая 2017 г. В первые дни (12-15 мая 2017) было осуществлено массовое заражение персональных компьютеров и серверов по всему миру. В числе первых пострадавших медицинские учреждения (более 40 больниц лишь в Великобритании), университеты, производственные заводы (Hitachi, Renault, Nissan), железнодорожные системы (Россия, Германия), провайдеры мобильной связи, банки, полицейские департаменты, правительственные учреждения и многое другое. Карта инфекций в режиме реального времени. 


Масштабы инфекции WanaCrypt0r на мировой карте

WanaCrypt0r на мировой карте (11-15 мая 2017)


График распределения по странам мира (12-24 мая 2017)
Топ распределения инфекции по странам (12-24 мая 2017)

Ориентирован на разноязычных пользователей, что позволяет быстро и с успехом распространять его по всему миру. Мультиязычен только экран блокировки. 

Список поддерживаемых языков, руководства на которые включены в список: 
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese.


💫
...В ответ на тиражирование зарубежными СМИ фактов о пострадавших банках России...
Конечно, компьютерные сети банков тоже пострадали. Но мировая банковская практика такова, что принято скрывать факты атак до последнего момента, когда этот факт будет невозможно скрыть.

...In response to the replication of foreign mass media of facts about the affected banks of Russia...
Of course, computer networks of banks also suffered. But the world banking practice is such that it is customary to hide the facts of attacks until the last moment, when this fact will be impossible to hide.



Скриншоты и описание


Записка с требованием выкупа называется: @Please_Read_Me@.txt

Содержание записки о выкупе:
Q:  What's wrong with my files?
A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!
Q:  What do I do?
A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q:  How can I trust?
A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
     Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
     Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки.
     Отправьте биткоины на сумму $300 на этот биткоин-адрес: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
     Затем найдите файл приложения с именем «@WanaDecryptor@.exe». Это программа дешифровки.
     Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке.
     Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.

Другими информаторами жертв выступают экран блокировки с таймером и скринлок, встающий обоями рабочего стола. 
Скринлок, встающий обоями рабочего стола


Скриншоты экрана блокировки (раздельно, на фоне обоев, на русском, английском, испанском, китайском):

Экран блокировки и содержание папки

Собственно экран блокировки

Обои, экран и папка с файлами

Экран, файлы шифровальщика и зашифрованные файлы

 
Содержание требований на испанском и китайском языках

Содержание требований о выкупе из экрана блокировки:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don’t pay in 7 days, you won’t be able to recover your files forever.
We will have free events for users who are so poor that they couldn’t pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payments>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>.
We strongly recommend you to not remove this software, and disable your antivirus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

Перевод этого текста на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас совсем немного времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы сделать платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About bitcoin>.
Пожалуйста, проверьте текущую стоимость биткоинов и купите биткоины. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После оплаты нажмите <Check Payments>. Лучшее время для проверки: 9:00 am - 11:00 am GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Настоятельно рекомендуем вам не удалять эту программу и временно отключить антивирус, пока не заплатите и платёж не обработается. Если ваш антивирус обновится и автоматически удалит эту программу, мы не сможем восстановить ваши файлы, даже если вы заплатили!

Оригинальный текст из окна экрана блокировки (
для сравнения):
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!


Как можно заметить, текст на русском языке сделан вымогателями с помощью Google-переводчика. (См. выводы в начале статьи под флажком). 

Сообщение подтверждения оплаты и запуска дешифровки
Сообщение завершения дешифровки


Рекомендации по предотвращению угрозы


1. Этот вредонос использует уязвимость, описанную в следующих статьях Microsoft
   Microsoft Security Bulletin MS17-010 - Critical
   MS17-010: Описание обновления безопасности для Windows SMB Server: 14 марта 2017 г.
Короче говоря, там рекомендуется скачать патч, закрывающий эту уязвимость, согласно версии вашей Windows.
Еще проще! Ниже в комментариях есть все прямые ссылки для всех версий Windows, включая XP и Vista. Скопируйте ссылку для своей ОС и вставьте в адресную строку браузера. 
Сделать это необходимо НЕМЕДЛЕННО!
После установки потребуется перезагрузить компьютер. Дождитесь завершения обновления. 

2. Если установка патча по каким-то причинам невозможна, то следует отключить SMB v1, v2, v3, протокола SMB (Server Message Block) в Windows и Windows Server, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138. 
Хотя отключение SMB может создать администраторам немало проблем, но в данном случае плюсы перевешивают минусы, так как потенциальная угроза для пользователей страшнее.

См. статьи от Microsoft: 
Как включить и отключить SMBv1, протокола SMB версии 2 и SMBv3 в Windows и Windows Server
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Сделать это необходимо также НЕМЕДЛЕННО! 


Технические детали


Для распространения использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям самостоятельно, наподобие червя, сканируя Интернет на наличие открытых портов. 
В рамках другой вредоносной кампании вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С помощью этой уязвимости в старых ОС Windows червь для SMB распространяется по локальной сети организации или предприятия без каких-то действий со стороны пользователя компьютера.

Этот Ransomware создаёт мьютекс "Global\MsWinZonesCacheCounterMutexA" и запускает удаление теневых копий файлов, точек восстановления и отключает отладку ошибок загрузки Windows единой командой:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Контроль учетных записей (UAC) не обходит. Если UAC не отключен заранее, то выйдет предупреждение на выполнение этой команды.

Чтобы подготовить компьютер к шифрованию WanaCrypt0r выполняет специальную команду iCACLS, чтобы изменить права доступа к файлам и папкам, расположенным в папке и подпапках, откуда WanaCrypt0r был запущен. Затем он завершает процессы , связанные с серверными базами данных и почтовыми серверами, чтобы шифровать базы данных и почтовые ящики.

Если файл большой, то XData шифрует не весь файл, а только его часть. Например, если файл больше 10 Мб, тогда шифруется только 1/3 часть и ~20 байт в конце. Используются шифры RSA-512 и AES-128. 

В случае, если файлы расположены в важных папках ("Рабочий стол", "Мои документы"), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (кроме как заплатить выкуп). 

Если файлы не находятся в "важных" папках, то исходные файлы будут перемещены в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, а лишь удаляются с диска, потому их можно восстановить с помощью специального ПО для восстановления данных.

Список файловых расширений, подвергающихся шифрованию:
1-й список (один образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (166 расширений).

2-й список (второй образец) 
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wcry.zip
@WanaDecryptor@.exe
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
WanaDecryptor.exe
WanaDecryptor.exe.lnk
taskse.exe
taskdl.exe
tasksche.exe
mks.exe

hptasks.exe
<random>.exe
c:\windows\mssecsvc.exe
и другие. 

Расположения:
C:\Users\User\AppData\Local\@WanaDecryptor@.exe.lnk
Файлы вымогателя @WanaDecryptor@.exe и @Please_Read_Me@.txt находятся во всех папках с зашифрованными файлами. 

Файлы, установившиеся вместе с шифровальщиком, нужные для работы WanaCrypt0r/Wana Decrypt0r:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe

WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.

WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange

Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd    [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper    "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com - сайт Killswitch
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ с .WNCRY >>  Ещё >>  Ещё >>
VirusTotal анализ с .WNCRY >>  Ещё >>
Гибридный анализ с .WNCRYT >>
VirusTotal анализ с .WNCRYT >>
Malwr анализ с .WNCRYT >>  Ещё >>

WannaCry: javaupdate.exe, creates g.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: svchost.exe, creates lsasvs.exe
https://www.virustotal.com/ru/file/91146ee63782a2061701db3229320c161352ee2bc4059ccc3123a33114774d66/analysis/

WannaCry: lsasvs.exe, creates 50793105.exe
https://www.virustotal.com/ru/file/a7ea1852d7e73ef91efb5ec9e26b4c482ca642d7bc2bdb6f36ab72b2691ba05a/analysis/

WannaCry: 50793105.exe, creates taskhcst.exe
https://www.virustotal.com/ru/file/7f8166589023cd62ae55a59f5fca60705090d17562b7f526359a3753eb74ea2f/analysis/

WannaCry: taskhcst.exe
https://www.virustotal.com/ru/file/043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2/analysis/

WannaCry: armsvc.exe, javaupdate.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: jusched.exe
https://www.virustotal.com/ru/file/524f8f0f8c31a89df46a77c7a30af5d2a1dc7525b08bfafbed98748c3d8a3f1c/analysis/

WannaCry: msinj32.exe
https://www.virustotal.com/ru/file/41e9d6c3374fd0e78853e945b567f9309446084e05fd013805c70a6a8205cd70/analysis/

WannaCry: goyqsvc.dll
https://www.virustotal.com/ru/file/436195bd6786baae8980bdfed1d7d7dbcccb7d5085e79ebdcc43e22d8bae08a8/analysis/

WannaCry: exldcmgmt.dll
https://www.virustotal.com/ru/file/9f177a6fb4ea5af876ef8a0bf954e37544917d9aaba04680a29303f24ca5c72c/analysis/

WannaCry: oledbg32.dll
https://www.virustotal.com/ru/file/ae8e9ff2dc0ec82b6bae7c4d978e3feac93353cb3cd903e15873d31e30749150/analysis/

WannaCry: bitssvcs.dll
https://www.virustotal.com/ru/file/fc079cefa19378a0f186e3e3bf90bdea19ab717b61a88bf20a70d357bf1db6b8/analysis/

Степень распространённости: высокая (глобальная атака).
Подробные сведения собираются регулярно.
Схему распространения этой угрозы см. онлайн.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaCryptor)
 Added later:  Video review
 Write-up, Topic, Research
 Write-up on BC, Topic on BC   
Symantec Official Blog (May 22, 2017)
WannaCry: Ransomware attacks show strong links to Lazarus group
TrustLook blog (May 16, 2017)
386 WannaCry Ransomware Samples 
Kryptos Logic (May 29, 2017)
WannaCry: Two Weeks and 16 Million Averted Ransoms Later
Securelist (June 1, 2017)
WannaCry mistakes that can help you restore files after infection
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Alex Svirid, GrujaRS
 BleepingComputer
 

© Amigo-A (Andrew Ivanov): All blog articles.

16 комментариев:

  1. Прямые ссылки для закрытия уязвимости MS17-010:

    Windows XP SP3 - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
    Windows XP SP2 (x64) - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
    Windows Vista SP2 x86 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    Windows Vista x64 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    Windows 7 SP1 x86 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    Windows 7 SP1 x64 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    Windows 8.1 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
    Windows 8.1 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

    ОтветитьУдалить
    Ответы
    1. ОК. Оставляю, может кому-то будет так проще, хотя выше уже есть все рекомендации. Microsoft даже для XP выпустили патч, поняли свою вину. :)

      Удалить
    2. Можно в статью добавить эти ссылки в рекомендации по предотвращению угрозы. Мне кажется так лучше будет, чем пытаться что-то найти тут https://support.microsoft.com/ru-ru/help/4012598/title

      Удалить
  2. Много внешних активных ссылок не хорошо для сайта. Уже сейчас 16 внешних ссылок. А опция спойлера в функционале блога почему-то не предусмотрена. Подписал красным и дал картинку.
    Спасибо за ссылки!

    ОтветитьУдалить
  3. а для Wind 2003 server RUS ? ENG не подходит

    ОтветитьУдалить
    Ответы
    1. Серверная версия Windows только для года 2008.

      Удалить
    2. и что делать с Windows Server 2003 RUS ?

      Удалить
    3. А там вообще есть функционал SMB?
      Если есть, отключите, согласно руководству Microsoft, указанному в статье выше, см. "Рекомендации по предотвращению угрозы".

      Удалить
    4. Windows Server 2003 ENG -я поставил патч
      Windows Server 2003 RUS - нет патча. а серверы то одинаковые - отличия только язык

      Удалить
  4. Нашел только эти:
    Download x86 Server 2003 DCE: KB.4012598
    http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

    Download x64 Server 2003 DCE: KB.4012598
    http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

    ОтветитьУдалить
  5. Ответы
    1. Образцы есть в результатах анализов по ссылке "Гибридный анализ".

      Удалить
    2. там ничего нету интересного
      кроме фишки с ДНС от песка

      азиаты же кодили тупорогие))))

      Удалить
  6. Такое впечатление, что винда по умолчанию имеет дыры, которым дозволено пользоваться всяким спецслужбам. Но когда об очередной такой дыре узнают хакеры ее срочно затыкают... Что позволено Юпитеру не позволено быку?

    ОтветитьУдалить
  7. https://intel.malwaretech.com/WannaCrypt.html - посмотрите и удивитесь - скорость появления новых заражений сегодня (27 июня) ГОРАЗДО выше чем в мае!!

    ОтветитьУдалить
  8. Пока не вижу колоссального прироста. Посмотрим по итогам дня.

    ОтветитьУдалить

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *