(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) - zararli dastur, tarmoq qurti va to'lov dasturi. Dastur kompyuterda saqlangan deyarli barcha fayllarni shifrlaydi va ularni parolini ochish uchun to'lov talab qiladi. So'nggi yillarda ushbu turdagi juda ko'p zararli dasturlar ro'yxatga olingan, ammo WannaCry tarqatish ko'lami va qo'llanilgan texnikasi tufayli ular orasida ajralib turadi.

Ushbu ransomware virusi taxminan ertalab soat 10 da tarqala boshladi va 12-may kuni kechqurun ommaviy axborot vositalarida ko'plab infektsiyalar haqida xabarlar paydo bo'ldi. Turli nashrlar eng yirik xoldinglarga, jumladan Sberbankga xakerlik hujumi uyushtirilgani haqida yozmoqda.

Foydalanuvchi savoli. "Mening Windows 7 Home Premium operatsion tizimida ishlaydigan hozirgi shaxsiy noutbukim uni o'chirib qo'yganimda avtomatik ravishda turli yamoqlarni o'rnatadi ...

Menda mavjud bo‘lgan W10 plansheti yoqilganda avtomatik ravishda yangi yamoqlarni o‘rnatadi... Korporativ ish stoli kompyuterlari yoqilgan yoki o‘chirilganida operatsion tizimni avtomatik ravishda yangilamaydimi? Haqiqatan ham - Nega?

Bir muncha vaqt o'tgach, ekspluatatsiyalarning to'liq to'plami o'quv videolari bilan birgalikda ommaga taqdim etildi. Har kim undan foydalanishi mumkin. Aynan nima sodir bo'ldi. Ekspluatatsiya to'plami DoublePulsar vositasini o'z ichiga oladi. 445-port ochiq bo'lsa va MS 17-010 yangilanishi o'rnatilmagan bo'lsa, masofaviy kodni bajarish sinfining zaifligi (kompyuterni masofadan zararlash qobiliyati (NSA EternalBlue ekspluatatsiyasi)) yordamida tizim qo'ng'iroqlarini ushlab turish va zararli kodni kiritish mumkin. xotira. Hech qanday elektron pochta xabarini olishning hojati yo'q - agar sizda SMBv1 xizmati ishlayotgan va MS17-010 yamog'i o'rnatilmagan Internetga ulangan kompyuteringiz bo'lsa, tajovuzkor sizni o'zi topadi (masalan, qo'pol manzillar orqali).

WannaCry tahlili

WannaCry troyan (aka WannaCrypt) kompyuteringizdagi ma'lum kengaytmali fayllarni shifrlaydi va bitkoinlarda 300 dollar to'lashni talab qiladi. To'lov uchun uch kun beriladi, keyin miqdor ikki baravar ko'payadi.

Shifrlash uchun 128 bitli kalitga ega Amerika AES algoritmi qo'llaniladi.

Sinov rejimida shifrlash troyanga ulangan ikkinchi RSA kaliti yordamida amalga oshiriladi. Shu munosabat bilan test fayllarini shifrlash mumkin.

Shifrlash jarayonida bir nechta fayllar tasodifiy tanlanadi. Troyan ularni bepul shifrlashni taklif qiladi, shunda jabrlanuvchi to'lovni to'lagandan so'ng qolganlarini shifrini ochishi mumkinligiga ishonch hosil qilishi mumkin.

Ammo bu tanlangan fayllar va qolganlari turli kalitlar bilan shifrlangan. Shuning uchun, shifrni ochish kafolati yo'q!

WannaCry infektsiyasining belgilari

Kompyuterga kirgandan so'ng, troyan mssecsvc2.0 nomli Windows tizimi xizmati sifatida ishlaydi (ko'rinadigan nomi - Microsoft Security Center (2.0) xizmati).

Qurt buyruq qatori argumentlarini qabul qilishga qodir. Agar kamida bitta argument ko'rsatilgan bo'lsa, mssecsvc2.0 xizmatini ochishga harakat qiladi va xatolik yuz berganda uni qayta ishga tushirish uchun sozlash.

Ishga tushirilgandan so'ng, u C:\WINDOWS\tasksche.exe faylining nomini C:\WINDOWS\qeriuwjhrf ga o'zgartirishga harakat qiladi, uni kodlovchi troyan resurslaridan C:\WINDOWS\tasksche.exe fayliga saqlaydi va uni /i bilan ishga tushiradi. parametr. Ishga tushganda, troyan virusli mashinaning IP-manzilini oladi va quyi tarmoq ichidagi har bir IP-manzilning 445-sonli TCP portiga ulanishga harakat qiladi - u ichki tarmoqdagi mashinalarni qidiradi va ularni yuqtirishga harakat qiladi.

Tizim xizmati sifatida ishga tushirilgandan 24 soat o'tgach, qurt avtomatik ravishda o'chadi.

O'zini tarqatish uchun zararli dastur Windows Sockets, CryptoAPI-ni ishga tushiradi va bir nechta oqimlarni ishga tushiradi. Ulardan biri zararlangan shaxsiy kompyuterdagi barcha tarmoq interfeyslarini sanab o'tadi va mahalliy tarmoqdagi mavjud xostlarni so'raydi, qolganlari tasodifiy IP manzillarini yaratadi. Qurt 445-port yordamida ushbu masofaviy xostlarga ulanishga harakat qiladi. Agar u mavjud bo'lsa, SMB protokolidagi zaiflikdan foydalanib, alohida tarmoqdagi tarmoq xostlarini yuqtiradi.

Ishga tushgandan so'ng darhol qurt domeni troyanda saqlanadigan masofaviy serverga so'rov yuborishga harakat qiladi. Agar ushbu so'rovga javob olinsa, u o'chiriladi.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

WannaCrypt va boshqa to'lov dasturlariga qarshi himoya

WannaCry ransomware dasturidan va uning kelajakdagi modifikatsiyalaridan himoyalanish uchun siz:

1. Foydalanilmayotgan xizmatlarni, shu jumladan SMB v1ni o'chirib qo'ying.

• PowerShell yordamida SMBv1-ni o'chirib qo'yish mumkin:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Ro'yxatga olish kitobi orqali:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, DWORD tipidagi SMB1 parametri = 0
• Shuningdek, siz SMBv1 uchun javobgar bo'lgan xizmatning o'zini olib tashlashingiz mumkin (ha, SMBv2-dan alohida xizmat buning uchun shaxsan javobgardir):
  sc.exe konfiguratsiyasi lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe konfiguratsiyasi mrxsmb10 start=o'chirilgan

1. Foydalanilmayotgan tarmoq portlarini, jumladan 135, 137, 138, 139, 445 (SMB portlari) portlarini yopish uchun xavfsizlik devoridan foydalaning.

Shakl 2. Xavfsizlik devori yordamida 445-portni blokirovka qilish misoliWindows

Shakl 3. Xavfsizlik devori yordamida 445-portni blokirovka qilish misoliWindows

1. Ilovaning Internetga kirishini cheklash uchun antivirus yoki xavfsizlik devoridan foydalaning.

Shakl 4. Windows xavfsizlik devori yordamida dasturga Internetga kirishni cheklash misoli