WannaCry Сегодня хотелось бы затронуть атаку шифровальщика, которая поразила множество ЭВМ по всему миру. Это самая масштабная атака виндовс-локеров за всю историю и при этом не менее интересно вникнуть и разобрать его. Начиная с прошлой пятницы компьютеры по всему миру подверглись глобальной кибератаке шифровальщика WannaCry, что вызвало небывалый хаос. В результате атаки было заражено более 300 тысяч компьютеров. Были зашифрованы данные множества компаний, правительственных, образовательных и медицинских учреждений, а также файлы обычных пользователей из более чем 100 стран мира. 12 мая началась атака с использованием уязвимости ETERNALBLUE, которой подвержены системы Windows начиная от XP. ETERNALBLUE - название эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, которая была разработана Агентством национальной безопасности США. Данные по ней были слиты группой The Shadow Brokers в этом году. Было слито огромное количество уязвимостей, которое использовало США для нелегального доступа. Интересная особенность данной уязвимости в том что здесь не требуется "помощь" жертвы для заражения. Не требуется открывать какой-либо файл и запускать что-то. WannaCry сканирует как внутренние, так и внешние сети пострадавших компаний, подключаясь к порту 445 (SMB) и осуществляя поиск компьютеров, на которых не установлен указанный выше патч, с целью их заражения (подобно компьютерному червю). Для этого он использует вариант бэкдора DOUBLEPULSAR. Можно разделить такие этапы заражения: 1. Поиск устройств с открытым портом 445, с помощью которого и возможно заражение 2. Происходит заражение 3. Происходит поиск других устройств находящихся в той же сети с открытым портом 445 4. Дублирование себя на них 5. Шифрование файлов и папок с помощью AES, которые могут быть расшифрованы только зная RSA ключ 6. Убивает процессы с открытыми базами данных, что гарантирует их шифрование 7. Запрещает загрузку системы в режиме восстановления 8. Получает доступ к системным скрытым файлам с копиями и удаляет их, чтобы не дать пользователю восстановить систему В первой версии вируса присутствовало правило при котором каждый раз проверялось есть ли успешный ответ от домена [http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/] Когда аналитик по безопасности обнаружил это в коде вируса, то зарегистрировал домен и заражение на некоторое время прекратилось. Но спустя время выпущена была новая ревизия вируса, где уже не было проверки на данный домен. За разблокировку требуют 300$, а иначе через 7 дней теряется возможность разблокировки. На данный момент хакерами получено уже более 65 тысяч долларов. Microsoft выпустила обновление для всего семейства Windows, даже для тех чью поддержку она давно прекратила. Обновляйтесь. На текущий момент заражение можно лишь предотвратить, но если оно уже произошло, то лечения нет.
Давно ждал эту тему, нахожусь в числе пострадавших ) Возможно найдется гуру, который сможет расшифровать в дальнейшем. На самом деле ничего серьезного зашифровано не было. p.s. призываю всех делать бэкапы
Учитывая потрясающий размах атаки вируса и не очень большое количество финансов вырученных с этих манипуляций. Можно предположить, что на данном этапе деньги - не самоцель. Здесь что-то другое. Вполне можно допустить, что они просто предварительно показывали действия вируса, потенциальному клиенту (заказчику, покупателю). А так в чем цимес мы наверно поймем позже.
WannaCryPT сделали потому что кто то очень зол Ничего сложного в коде не было,просто эксплуатация одной уязвимости в беспонтовом WinXp. Фишка в масштабах,никто до сих пор толком не понял как так получилось. Но кто надо заценил и все понял пока все остальные останутся в высерных коментах. За WannaCry-ем стоят легеды. Круто быть участником чего то легендарного,не правда ли?
начиная с хп круто, хм... ну если быть фанатом своего дела, то от одной только мысли такой уже срешь в штаны неговоря уже о самом участии