Тия дни всички коментират опасния рансъмуер WannaCry/Wcry/WannaCrypt, който този петък зарази десетки хиляди компютри по целия свят, но след това неговото разпространение внезапно се прекрати.

Microsoft веднага публикува пачове за запушване на тази уязвимост:

Microsoft Security Bulletin MS17-010
Пач за старите операционни системи (Windows XP, Windows Server 2003R2)

Проблемът може да бъде решен и чрез цялостното изключване поддръжката на SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Според последна информация, рансъмуерът е поразил над 75 000 компютри работещи под управлението на операционната система Windows, минимум в 99 държави от целия свят. Но мащабите на тази компютърна зараза биха били десетки пъти по-големи, ако не бе младият британски специалист по информационна безопасност, автор на блога MalwareTech Blog, който съобщи как са се развили събитията.

Героят е 22-годишен хакер от Великобритания, името на който все още не е известно. Той написа в своя блог, че към 10:00 часа в петък се е логнал в националната система за наблюдение на киберзаплахите, за да провери разпространението на банковия вирус Emotet – най-значителното събитие през последните дни. Следващата проверка направил към 14:30 часа и видял редица съобщения за заразяването на много британски болници и медицински системи от неизвестен рансъмуер.

Хакерът бързо намерил екземпляр от опасния рансъмуер и го стартирал във виртуална машина. Оказало се, че вирусът изпраща заявки и запитвания към нерегистриран домейн. Интересно.

Малко след това всички видяхме статистиката на Cisco Umbrella, която показа, че запитванията към този домейн са започнали в петък 8:00 сутринта, а след това нарастват лавинообразно.

Последвалите събития са известни: блогърът регистрира за 8 паунда ($19,69) собствен домейн. Той сподели в блога си, че това е стандартна практика, понеже има немалка вероятност и злоумишлениците да започнат да използват същия домейн за команден сървър или за междинно звено към C2C сървър. По този начин отвътре се изучава работата на ботнетите и вирусите, съставят се графики за тяхното разпространение по райони и т.н.

Когато след регистрацията започва обновяването на DNS записите, блогърът започна наблюдението и изучаването на рансъмуера. Оказа се, че след криптирането на потребителските файлове, вирусът започва да сканира случайни IP адреси през порт 445 (използва се SMB). Това говори, че WannaCrypt навярно е свързан експлойта на АНС за SMB, който преди месец бе публикуван със свободен достъп от хакерската група ShadowBrokers, откраднала експлойта от сървърите на АНС.

Тази идея се оказа добра – огромен брой компютри започнаха да се свързват с нови домейн и британецът започна да съставя картата на заразяването по списъка с IP адреси.

Натрапва се изводът, че именно компютърът на 22-годишният блогър е станал отговорен за заразяването и криптирането на много компютри, но се оказа точно обратното: именно регистрираният нов домейн успя да спре разпространението на рансъмуера.

Още петък вечерта в уеб-пространството започна разпространението на кода на рансъмуера, декомпилиран от други специалисти:

Скрийншотът показва, че вирусът осъществява HTTP запитване към нерегистриран домейн. Ако запитването е успешно, рансъмуерът прекратява атаката. Ако запитването е неуспешно се стартира изпълнението на кода за криптиране на файловете и започва тяхното заключване.

Въоръжен с тази информация, блогърът стартирал своята виртуална среда, стартирал заразата и нищо. Рансъмуерът спрял да функционира.

По-подробният анализ показа, че във вируса некоректно е реализирана защитата от анализ на програмата във виртуална среда. Подобна техника използва троянецът Necurs, но в този рансъмуер, логиката на работа във виртуална машина е объркана. И съответно, ако запитването към външния домейн връща положителен отговор, вирусът счита, че се намира във виртуална среда и моментално прекратява своята работа.

В случая с е получило лавинообразно прекратяване работата на този рансъмуер чрез внедряване на външен домейн. Може да се каже, че съвсем случайно един човек успя да спре разпространението на глобална вирусна инфекция, за която вчера и днес се говори във всички новини.

Само че не бива да се отпускаме. Този път имаме късмет, но следващия път подобна грешка няма да има и апокалипсисът ще се окаже истински – почти всеки компютър със заключени, добре криптирани файлове. Това бе нещо като тест. Новите версии със сигурност ще се появят само след няколко дни.

13
ДОБАВИ КОМЕНТАР

avatar
5 Коментари
8 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
assa
assa

Ми да съвесем случайно…

Lin user
Lin user

Този случайно пуснал вирус, онзи случайно го спрял…Благодаря, че има Линукс, за да ме спаси от тези циркове!

Забравих си името
Забравих си името

Не е задължително да си с линукс за да се предпазиш просто зависи какви линкове отваряш и какво теглиш 🙂

Калин
Калин

Линуксчетата са малко като в приказката – „Те не ме гонеха, но аз се криех“ 😀

hmm
hmm

Боже, докъде е стигнал мазохизма на Windows потребителите. Вече се радвате, че сте жертва на вируси 😀

ААА
ААА

Остава да обявиш и че си веган

Анон
Анон

Сега е модерно да си вегераст и моба/мморпг аутист, ГДБОП няма закакво да се притесняват, повечето се придържат към новата мода.

Azhen
Azhen

Не сега е модерно да имаш или гоУФ или БЕЕМВЕ да имаш татуси напомпан с анаболи да нямаш нищо в глават да си състезател на пътя и да ядеш хапове.

cafee
cafee

435435.exe

cafee
cafee

Дънов:
Ако искаш да се освободиш от някаква беля, работи с числото 435.

Писача на wanna
знае/ползва Дънов

Бай Онзи
Бай Онзи

Това с 435435.exe някаква шега ли е? На адрес
http://r.virscan.org/language/zh-cn/54686c36e1bf8bfed02fe2ac9b4a9f2c
може да се види резултати от сканиране за вируси на файл с това име, като един от резултатите е наличие на крипто вирус – TR/Crypt.XPACK.Gen

manol
manol

Този линк не успях да отворя(прекалено много заявки).
vurustotal при търсене казва,че не знае нищо за такъв файл(435435.exe),но ако имате хаш-сума пробвайте – може да не е единственото име,

ee2
ee2

wannacry(pt) = ИскаПлаче