(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) – kenkėjiška programa, tinklo kirminas ir išpirkos reikalaujančios programos. Programa užšifruoja beveik visus kompiuteryje saugomus failus ir reikalauja išpirkos, kad juos iššifruotų. Pastaraisiais metais buvo užregistruota daugybė tokio tipo kenkėjiškų programų, tačiau WannaCry išsiskiria iš jų platinimo mastu ir naudojamomis technikomis.

Šis išpirkos reikalaujantis virusas pradėjo plisti apie 10 val., o jau gegužės 12-osios vakarą žiniasklaida pradėjo skelbti daugybę užkrėtimų. Įvairiose publikacijose rašoma, kad įsilaužėlių ataka buvo įvykdyta didžiausiose valdose, įskaitant „Sberbank“.

Vartotojo klausimas. „Mano dabartinis asmeninis nešiojamas kompiuteris, kuriame veikia Windows 7 Home Premium, automatiškai įdiegia įvairius pataisymus, kai jį išjungiu...

O mano turimas W10 planšetinis kompiuteris automatiškai įdiegia naujus pataisymus, kai jį įjungia... Ar įmonių staliniai kompiuteriai automatiškai neatnaujina savo OS, kai įjungiami arba išjungiami? Tikrai - Kodėl?

Po kurio laiko visas išnaudojimų rinkinys buvo viešai prieinamas kartu su mokomaisiais vaizdo įrašais. Kiekvienas gali juo naudotis. Būtent taip ir atsitiko. Išnaudojimo rinkinyje yra „DoublePulsar“ įrankis. Kai atidarytas 445 prievadas ir neįdiegtas naujinimas MS 17-010, naudojant nuotolinio kodo vykdymo klasės pažeidžiamumą (galimybę nuotoliniu būdu užkrėsti kompiuterį (NSA EternalBlue exploit)), galima perimti sistemos skambučius ir įterpti kenkėjišką kodą. atmintis. Nereikia gauti jokių el. laiškų – jei turite kompiuterį su interneto prieiga, su veikiančia SMBv1 paslauga ir neįdiegta pataisa MS17-010, užpuolikas jus suras pats (pavyzdžiui, pagal brutalus prievartos adresus).

„WannaCry“ analizė

WannaCry Trojos arklys (dar žinomas kaip WannaCrypt) užšifruoja failus su tam tikrais plėtiniais jūsų kompiuteryje ir reikalauja 300 USD išpirkos bitkoinais. Apmokėjimui skiriamos trys dienos, tada suma padvigubėja.

Šifravimui naudojamas amerikietiškas AES algoritmas su 128 bitų raktu.

Bandymo režimu šifravimas atliekamas naudojant antrąjį RSA raktą, prijungtą prie Trojos arklys. Šiuo atžvilgiu galima iššifruoti bandomuosius failus.

Šifravimo proceso metu atsitiktinai parenkami keli failai. Trojos arklys siūlo juos iššifruoti nemokamai, kad sumokėjus išpirką auka įsitikintų, jog likusią dalį gali iššifruoti.

Tačiau šie pasirinktiniai failai ir kiti yra užšifruoti skirtingais raktais. Todėl iššifravimo garantijos nėra!

WannaCry infekcijos požymiai

Kompiuteryje Trojos arklys veikia kaip „Windows“ sistemos paslauga, pavadinta mssecsvc2.0 (matomas pavadinimas – „Microsoft Security Center (2.0)“ paslauga).

Kirminas gali priimti komandinės eilutės argumentus. Jei nurodytas bent vienas argumentas, bandoma atidaryti mssecsvc2.0 paslaugą ir sukonfigūruoti ją taip, kad įvykus klaidai būtų paleistas iš naujo.

Po paleidimo jis bando pervadinti failą C:\WINDOWS\tasksche.exe į C:\WINDOWS\qeriuwjhrf, išsaugo jį iš kodavimo priemonės Trojos arklys į failą C:\WINDOWS\tasksche.exe ir paleidžia su /i parametras. Paleidęs Trojos arklys gauna užkrėstos mašinos IP adresą ir bando prisijungti prie kiekvieno potinklio IP adreso 445 TCP prievado – ieško vidiniame tinkle esančių mašinų ir bando jas užkrėsti.

Kirminas automatiškai išsijungia praėjus 24 valandoms po to, kai pradeda veikti kaip sistemos paslauga.

Kad pati išplistų, kenkėjiška programa inicijuoja „Windows Sockets“, „CryptoAPI“ ir paleidžia keletą gijų. Viename iš jų pateikiamos visos užkrėsto kompiuterio tinklo sąsajos ir vietiniame tinkle atliekami galimi pagrindiniai kompiuteriai, kiti generuoja atsitiktinius IP adresus. Kirminas bando prisijungti prie šių nuotolinių kompiuterių naudodamas 445 prievadą. Jei jis yra, jis užkrečia tinklo pagrindinius kompiuterius atskira gija, naudodamas SMB protokolo pažeidžiamumą.

Iš karto po paleidimo kirminas bando nusiųsti užklausą į nuotolinį serverį, kurio domenas yra saugomas Trojos arklys. Jei į šį užklausą gaunamas atsakymas, jis išjungiamas.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Apsauga nuo WannaCrypt ir kitų išpirkos reikalaujančių programų

Norėdami apsisaugoti nuo WannaCry išpirkos reikalaujančios programos ir būsimų jos modifikacijų, turite:

1. Išjunkite nenaudojamas paslaugas, įskaitant SMB v1.

• SMBv1 galima išjungti naudojant „PowerShell“:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Per registrą:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, DWORD tipo SMB1 parametras = 0
• Taip pat galite pašalinti pačią paslaugą, kuri yra atsakinga už SMBv1 (taip, už tai asmeniškai atsakinga atskira paslauga nuo SMBv2):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=išjungta

1. Naudokite ugniasienę, kad uždarytumėte nenaudojamus tinklo prievadus, įskaitant 135, 137, 138, 139, 445 (SMB prievadus).

2 pav. 445 prievado blokavimo naudojant ugniasienę pavyzdysWindows

3 pav. 445 prievado blokavimo naudojant ugniasienę pavyzdysWindows

1. Norėdami apriboti programos prieigą prie interneto, naudokite antivirusinę arba ugniasienę.

4 pav. Interneto prieigos apribojimo programai, naudojant Windows ugniasienę, pavyzdys