WanaCrypt0r 2.0 Ransomware
WannaCry: NSA Exploit Edition
WannaCry NSA EE
(шифровальщик-вымогатель)
(первоисточник)
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
⛳ Проанализировав тексты записок и сравнив их через Google-переводчик, я обнаружил, что почти все тексты переведены с английского, который был шаблонным источником перевода. И только китайский текст расходится с английским, видимо потому, что был написан с нуля. Причем в английском тексте присутствуют незначительные ляпы, которые могут говорить только о том, что для составителя шаблонного текста о выкупе английский не был родным.
➤ Чтобы убедиться в правильности выводов об английском тексте, я предложил знакомым англоязычным специалистам посмотреть на него и получил подтверждение. Но данный факт не доказывает того, что за атакой стояли исключительно китайцы. Это верно только для текста о выкупе, который мог быть написан и на заказ. Интересно было бы в будущем получить анализ китайского текста, хотя бы в упрощенном китайском.
➤ Русский текст о выкупе вы можете сравнить с мои переводом ниже.
ВНИМАНИЕ! После нашумевшей атаки этого шифровальщика появились фальшивые WannaCry, в том числе фальшивки-пугалки в виде простых блокировщиков экрана. Также вымогатели из Amnesia2 Ransomware подхватили и используют расширение .wncry совместно со своей запиской о выкупе, где они пугают пострадавших тем, что они якобы стали жертвой WannaCry. Не верьте! Amnesia2 Ransomware дешифруется. Ссылка на мою статью с дешифратором от антивирусной компании Emsisoft.
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA, а затем требует выкуп от 0.1 до 1.0 BTC, чтобы вернуть файлы. На экранах блокировки есть также указание на $300 и $600.
Оригинальное название версии: WanaCrypt0r 2.0. Внутреннее: WanaCrypt0r. Фальш-имена: diskpart.exe, cliconfg.exe, lhdfrgui.exe и многие другие. Фальш-копирайт: Microsoft Corporation. Написан на языке C/C++. Среда разработки: MS Visual Studio.
DrWeb -> Trojan.Encoder.11432
BitDefender -> Trojan.Ransom.WannaCryptor.G, Trojan.GenericKD.40267082
Malwarebytes -> Ransom.WannaCrypt
© Генеалогия: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0
© Genealogy: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0
К зашифрованным файлам добавляются расширения:
.WCRY
.WNCRY
.WNCRYT
Расширение .WNCRY — основное.
Расширение .WNCRYT — временное.
Расширение .WRCY — атавизм от предыдущих версий.
Когда Wannacry шифрует файлы, он считывает информацию из исходного файла, шифрует содержимое и сохраняет его в файл с расширением .WNCRYT. После шифрования Wannacry меняет расширение .WNCRYT на .WNCRY и удаляет исходный файл.
Всплеск активности этого крипто-вымогателя пришёлся на первую половину мая 2017 г. В первые дни (12-15 мая 2017) было осуществлено массовое заражение персональных компьютеров и серверов по всему миру. В числе первых пострадавших медицинские учреждения (47 больниц лишь в Великобритании), университеты, производственные заводы (Hitachi, Renault, Nissan), железнодорожные системы (Россия, Германия), провайдеры мобильной связи, банки, полицейские департаменты, правительственные учреждения и многое другое. Карта инфекций в режиме реального времени. Страны: Россия, Тайвань, Испания, Украина, Япония, Франция, Германия...
WanaCrypt0r на мировой карте (11-15 мая 2017)
График распределения по странам мира (12-24 мая 2017)
Топ распределения инфекции по странам (12-24 мая 2017)
Ориентирован на разноязычных пользователей, что позволяет быстро и с успехом распространять его по всему миру. Мультиязычен только экран блокировки.
Список поддерживаемых языков, руководства на которые включены в список:
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese.
Конечно, компьютерные сети банков тоже пострадали. Но мировая банковская практика такова, что принято скрывать факты атак до последнего момента, когда этот факт будет невозможно скрыть.
...In response to the replication of foreign mass media of facts about the affected banks of Russia...
Of course, computer networks of banks also suffered. But the world banking practice is such that it is customary to hide the facts of attacks until the last moment, when this fact will be impossible to hide.
Скриншоты и описание
Записка с требованием выкупа называется: @Please_Read_Me@.txt
Содержание записки о выкупе:
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.
Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки.
Отправьте биткоины на сумму $300 на этот биткоин-адрес: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Затем найдите файл приложения с именем «@WanaDecryptor@.exe». Это программа дешифровки.
Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке.
Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.
Другими информаторами жертв выступают экран блокировки с таймером и скринлок, встающий обоями рабочего стола.
Содержание требований о выкупе из экрана блокировки:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don’t pay in 7 days, you won’t be able to recover your files forever.
We will have free events for users who are so poor that they couldn’t pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payments>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>.
We strongly recommend you to not remove this software, and disable your antivirus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас совсем немного времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы сделать платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About bitcoin>.
Пожалуйста, проверьте текущую стоимость биткоинов и купите биткоины. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После оплаты нажмите <Check Payments>. Лучшее время для проверки: 9:00 am - 11:00 am GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Настоятельно рекомендуем вам не удалять эту программу и временно отключить антивирус, пока не заплатите и платёж не обработается. Если ваш антивирус обновится и автоматически удалит эту программу, мы не сможем восстановить ваши файлы, даже если вы заплатили!
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
Как можно заметить, текст на русском языке сделан вымогателями с помощью Google-переводчика. (См. выводы в начале статьи под флажком).
Рекомендации по предотвращению угрозы
Microsoft Security Bulletin MS17-010 - Critical
MS17-010: Описание обновления безопасности для Windows SMB Server: 14 марта 2017 г.
Короче говоря, там рекомендуется скачать патч, закрывающий эту уязвимость, согласно версии вашей Windows.
Еще проще! Ниже в комментариях есть все прямые ссылки для всех версий Windows, включая XP и Vista. Скопируйте ссылку для своей ОС и вставьте в адресную строку браузера.
Сделать это необходимо НЕМЕДЛЕННО!
После установки потребуется перезагрузить компьютер. Дождитесь завершения обновления.
2. Если установка патча по каким-то причинам невозможна, то следует отключить SMB v1, v2, v3, протокола SMB (Server Message Block) в Windows и Windows Server, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138.
Например, быстро заблокировать порты 139 и 445 можно с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Другие порты — аналогично. С правами администратора.
Хотя отключение SMB может создать администраторам немало проблем, но в данном случае плюсы перевешивают минусы, так как потенциальная угроза для пользователей страшнее.
См. статьи от Microsoft:
Как включить и отключить SMBv1, протокола SMB версии 2 и SMBv3 в Windows и Windows Server
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Сделать это необходимо также НЕМЕДЛЕННО!
Технические детали
Для распространения использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям самостоятельно, наподобие червя, сканируя Интернет на наличие открытых портов.
В рамках другой вредоносной кампании вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
С помощью этой уязвимости в старых ОС Windows червь для SMB распространяется по локальной сети организации или предприятия без каких-то действий со стороны пользователя компьютера.
Этот Ransomware создаёт мьютекс "Global\MsWinZonesCacheCounterMutexA" и запускает удаление теневых копий файлов, точек восстановления и отключает отладку ошибок загрузки Windows единой командой:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
Контроль учетных записей (UAC) не обходит. Если UAC не отключен заранее, то выйдет предупреждение на выполнение этой команды.
Чтобы подготовить компьютер к шифрованию WanaCrypt0r выполняет специальную команду iCACLS, чтобы изменить права доступа к файлам и папкам, расположенным в папке и подпапках, откуда WanaCrypt0r был запущен. Затем он завершает процессы , связанные с серверными базами данных и почтовыми серверами, чтобы шифровать базы данных и почтовые ящики.
Если файл большой, то шифруется не весь файл, а только его часть. Например, если файл больше 10 Мб, тогда шифруется только 1/3 часть и ~20 байт в конце. Используются шифры RSA-512 и AES-128.
В случае, если файлы расположены в важных папках ("Рабочий стол", "Мои документы"), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (кроме как заплатить выкуп).
Если файлы не находятся в "важных" папках, то исходные файлы будут перемещены в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, а лишь удаляются с диска, потому их можно восстановить с помощью специального ПО для восстановления данных.
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (166 расширений).
2-й список (второй образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).
3-й список (третий образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
wcry.zip
@WanaDecryptor@.exe
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
WanaDecryptor.exe
WanaDecryptor.exe.lnk
taskse.exe
taskdl.exe
tasksche.exe
mks.exe
hptasks.exe
<random>.exe
c:\windows\mssecsvc.exe
и другие.
Расположения:
C:\Users\User\AppData\Local\@WanaDecryptor@.exe.lnk
Файлы вымогателя @WanaDecryptor@.exe и @Please_Read_Me@.txt находятся во всех папках с зашифрованными файлами.
Файлы, установившиеся вместе с шифровальщиком, нужные для работы WanaCrypt0r/Wana Decrypt0r:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData.
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.
WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange
Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com - сайт Killswitch
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ с .WNCRY >> Ещё >> Ещё >>
VirusTotal анализ с .WNCRY >> Ещё >>
Гибридный анализ с .WNCRYT >>
VirusTotal анализ с .WNCRYT >>
Malwr анализ с .WNCRYT >> Ещё >>
Intezer анализ >>
WannaCry: javaupdate.exe, creates g.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/
WannaCry: svchost.exe, creates lsasvs.exe
https://www.virustotal.com/ru/file/91146ee63782a2061701db3229320c161352ee2bc4059ccc3123a33114774d66/analysis/
WannaCry: lsasvs.exe, creates 50793105.exe
https://www.virustotal.com/ru/file/a7ea1852d7e73ef91efb5ec9e26b4c482ca642d7bc2bdb6f36ab72b2691ba05a/analysis/
WannaCry: 50793105.exe, creates taskhcst.exe
https://www.virustotal.com/ru/file/7f8166589023cd62ae55a59f5fca60705090d17562b7f526359a3753eb74ea2f/analysis/
WannaCry: taskhcst.exe
https://www.virustotal.com/ru/file/043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2/analysis/
WannaCry: armsvc.exe, javaupdate.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/
WannaCry: jusched.exe
https://www.virustotal.com/ru/file/524f8f0f8c31a89df46a77c7a30af5d2a1dc7525b08bfafbed98748c3d8a3f1c/analysis/
WannaCry: msinj32.exe
https://www.virustotal.com/ru/file/41e9d6c3374fd0e78853e945b567f9309446084e05fd013805c70a6a8205cd70/analysis/
WannaCry: goyqsvc.dll
https://www.virustotal.com/ru/file/436195bd6786baae8980bdfed1d7d7dbcccb7d5085e79ebdcc43e22d8bae08a8/analysis/
WannaCry: exldcmgmt.dll
https://www.virustotal.com/ru/file/9f177a6fb4ea5af876ef8a0bf954e37544917d9aaba04680a29303f24ca5c72c/analysis/
WannaCry: oledbg32.dll
https://www.virustotal.com/ru/file/ae8e9ff2dc0ec82b6bae7c4d978e3feac93353cb3cd903e15873d31e30749150/analysis/
WannaCry: bitssvcs.dll
https://www.virustotal.com/ru/file/fc079cefa19378a0f186e3e3bf90bdea19ab717b61a88bf20a70d357bf1db6b8/analysis/
Степень распространённости: высокая (глобальная атака).
Подробные сведения собираются регулярно.
Схему распространения этой угрозы см. онлайн.
СМИ сообщают о новых атаках WannaCry и массовых инфекциях. На самом деле всё иначе. Несколько других вредоносов могли маскироваться и выдавать себя за WannaCry. Эти случаи известны и вряд ли они последние. При этом опасность представляет не только сам вредонос (любой из имитаторов и дубликатов), а также то, что в них используются эксплойты из арсенала АНБ, от которых в операционных системах нет защиты, кроме послевременного патча.
В мае 2018 года специалисты Symantec предупреждали, что разрушительный потенциал WannaCry будет опасен всегда и не имеет срока давности. Потому новые заражения, о которых истерят СМИ, были вызвано бездействием обслуживающего персонала и нерациональными действиями руководства, решившего, что они умнее атакующих.
Необходимо защищаться всегда! Для этого я выработал и опубликовал здесь "Комплекс мероприятий для защиты от Ransomware". Это на сегодняшний день единственная защита. Изучите эти рекомендации и выработайте комплекс мероприятий для защиты своего предприятии и организации от Ransomware.
---
Обновление от 23 января 2020:
Пост в Твиттере >>
Результаты анализов: VT
Внимание! Есть 3 дешифровщика, но их возможности ограничены: 1) WannaKey - только для Windows XP (скачать) 2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать) wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry Описание >> * 3) WannaCry Decryption tool на китайском, если непонятно, пишите мне. Описание и загрузка >>
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as WannaCryptor)
Added later: Video review Write-up, Topic, Research Write-up on BC, Topic on BC История WannaCry 5 лет спустя
Dr.Web: Trojan.Encoder.11432, известный как WannaCry
Подробности о шифровальщике (May 16, 2017)
Symantec Official Blog (May 22, 2017)
WannaCry: Ransomware attacks show strong links to Lazarus group
TrustLook blog (May 16, 2017)
386 WannaCry Ransomware Samples
FireEye (May 23, 2017)
WannaCry Malware Profile
Kryptos Logic (May 29, 2017)
WannaCry: Two Weeks and 16 Million Averted Ransoms Later
Securelist (June 1, 2017)
WannaCry mistakes that can help you restore files after infection
Thanks: MalwareHunterTeam, Jakub Kroustek Michael Gillespie Alex Svirid, GrujaRS BleepingComputer
© Amigo-A (Andrew Ivanov): All blog articles.
Прямые ссылки для закрытия уязвимости MS17-010:
ОтветитьУдалитьWindows XP SP3 - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 (x64) - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Vista SP2 x86 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 SP1 x86 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 SP1 x64 - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8.1 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
ОК. Оставляю, может кому-то будет так проще, хотя выше уже есть все рекомендации. Microsoft даже для XP выпустили патч, поняли свою вину. :)
УдалитьМожно в статью добавить эти ссылки в рекомендации по предотвращению угрозы. Мне кажется так лучше будет, чем пытаться что-то найти тут https://support.microsoft.com/ru-ru/help/4012598/title
УдалитьМного внешних активных ссылок не хорошо для сайта. Уже сейчас 16 внешних ссылок. А опция спойлера в функционале блога почему-то не предусмотрена. Подписал красным и дал картинку.
ОтветитьУдалитьСпасибо за ссылки!
а для Wind 2003 server RUS ? ENG не подходит
ОтветитьУдалитьСерверная версия Windows только для года 2008.
Удалитьи что делать с Windows Server 2003 RUS ?
УдалитьА там вообще есть функционал SMB?
УдалитьЕсли есть, отключите, согласно руководству Microsoft, указанному в статье выше, см. "Рекомендации по предотвращению угрозы".
Windows Server 2003 ENG -я поставил патч
УдалитьWindows Server 2003 RUS - нет патча. а серверы то одинаковые - отличия только язык
Нашел только эти:
ОтветитьУдалитьDownload x86 Server 2003 DCE: KB.4012598
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Download x64 Server 2003 DCE: KB.4012598
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS:
Удалитьhttp://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x64 RUS:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
и другие:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
киньте сам wanacrypt
ОтветитьУдалитьОбразцы есть в результатах анализов по ссылке "Гибридный анализ".
Удалитьтам ничего нету интересного
Удалитькроме фишки с ДНС от песка
азиаты же кодили тупорогие))))
Такое впечатление, что винда по умолчанию имеет дыры, которым дозволено пользоваться всяким спецслужбам. Но когда об очередной такой дыре узнают хакеры ее срочно затыкают... Что позволено Юпитеру не позволено быку?
ОтветитьУдалитьhttps://intel.malwaretech.com/WannaCrypt.html - посмотрите и удивитесь - скорость появления новых заражений сегодня (27 июня) ГОРАЗДО выше чем в мае!!
ОтветитьУдалитьПока не вижу колоссального прироста. Посмотрим по итогам дня.
ОтветитьУдалить