«Доктор Веб» представляет подробное описание вредоносной программы TrojanEncoder11432 WannaCry

Исследователи антивирусной лаборатории компании «Доктор Веб» обнаружили и подробно описали вредоносную программу TrojanEncoder11432 WannaCry, которая представляет серьезную угрозу для корпоративных серверов и персональных компьютеров. Вымогательское ПО WannaCry, также известное как WanaCrypt0r или Wana Decryptor, запускает троянский шифровальщик Trojan.Encoder.11432. Таким образом, оно заражает файлы на ПК и серверах, сохраняет их в зашифрованном виде и требует выкуп за их расшифровку.

WannaCry-WanaCrypt0r эффективно распространяется с помощью SMB-сервиса на компьютерах, работающих под управлением операционной системы Microsoft Windows. После успешной инфекции, данный вирус устанавливает себя на целевых машинах, запускает троянский файл с именем mssecsvc20.exe и преобразует список файлов в уникальный список для шифрования.

Следующим этапом процесса заражения wannacrywannacrypt могут быть несколько действий: троянец переключается на режим генерации случайных имени, который сохраняет список найденных файлов. Далее, данный шифровальщик создает свою копию в папке запуска и шифрует данные на зараженном компьютере. В завершении, он устанавливает соединение с onion-серверами, расположенными в темных уголках интернета, и отправляет им сообщения с уникальным идентификатором, содержащим информацию о файле и ключе для расшифровки.

WannaCryWannaCrypt: История и описание вируса

История появления данного вируса начинается в 2017 году, когда он впервые был обнаружен в потоке атак на компьютеры в различных странах. В результате атаки WannaCry получил широкую известность и стал одним из самых опасных и разрушительных вирусов за последние годы.

Главной функцией троянца WannaCryWannaCrypt является шифрование локальных файлов на зараженном компьютере. При этом каждый файл шифруется отдельно с использованием сессионного ключа, а шифрование происходит на базе алгоритма AES с длиной ключа 128 бит и уникальным параметром, который привязан к каждому файлу.

После шифрования каждого файла, в нем остаются только первые 16 байт, которые содержат базовые параметры для разшифровки. Файлы, которые подверглись шифрованию, получают расширение «.wannacrywannacrypt», что позволяет различать их от не зараженных файлов.

Одним из признаков заражения компьютера вирусом WannaCryWannaCrypt является появление на рабочем столе файла с названием «WannaDecryptor». В этом файле содержится информация о вирусе и требования выкупа, а также инструкции о том, как оплатить выкуп и получить «ключ для разшифровки» файлов.

WannaCryWannaCrypt реализуется через exploit, использующий уязвимость под названием «EternalBlue». Данный эксплойт был разработан американской компанией NSA и был скомпрометирован в 2017 году, что позволило злоумышленникам использовать его для своих целей.

В процессе работы вирус WannaCryWannaCrypt запускает службу с именем «mssecsvc20», которая отвечает за шифрование файлов и взаимодействие с доменным сервером. Для своей работы вирус также использует скрытые копии файлов, параметры работы которых определяются через командные аргументы.

Одной из особенностей работы вируса WannaCryWannaCrypt является его способность к самоудалению в случае наличия на компьютере файла «iuqerfsodp9ifjaposdfjhgosurijfaewrwergweacom». Кроме того, вирус также блокирует работу процесса «mssecsvc20» при выключении компьютера.

Следует отметить, что в настоящее время специалисты по информационной безопасности разработали различные инструменты и патчи для защиты от вируса WannaCryWannaCrypt и его модификаций. Однако, в связи с постоянным развитием и совершенствованием киберугроз, необходимо постоянно обновлять системы и использовать современные антивирусные решения для защиты компьютеров и данных.

Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении

Один из самых удивительных фактов, выявленных в ходе анализа вредоносной программы TrojanEncoder11432 WannaCry (также известной как WannaCrypt), заключается в том, что многие корпоративные компьютеры не были обновлены на последние версии операционной системы, несмотря на наличие автоматических обновлений. Следует отметить, что многие организации занимаются сбором и анализом данных и, следовательно, работают с большим объемом информации. Если такие рабочие места остаются уязвимыми, это создает проблемы для всей компании.

Организациям, которые не обновляют свои операционные системы, приходится сталкиваться с серьезными проблемами при обнаружении атак, таких как WannaCry и WannaCrypt. Троянец сохраняет копию шифрованных файлов на атакованном компьютере и шифрует оригинальные файлы с помощью запросов к серверу WannaCry. Затем он завершает процесс работы с помощью командной строки, чтобы обеспечить доступность приложений для пользователя. Копии файлов обычно сохраняются в папке, содержащей символы «mssecsvc20».

Чаще всего этот вредоносный файл запускается через автоматическую функцию Windows при включении компьютера или по запросу пользователя. Если операционная система остается уязвимой и включает такую функцию, троянец запускается автоматически при запуске файле и начинает шифровать данные. Он также записывает свои признаки в протоколе сбоя, чтобы исследователи могли определить, какие файлы были заражены.

Зачем троянец WannaCry использует эту функцию

Исследователи считают, что заказчиками троянца WannaCry являются киберпреступники, которые стали активно использовать данную функцию из-за ее доступности. Они могут устанавливать троянца на множестве компьютеров с помощью одного файла и ожидать, пока пользователи включат свои рабочие станции, чтобы атаковать их. Таким образом, вредоносный скрипт быстро распространяется по компьютерной сети и заражает все доступные ресурсы.

Необходимо отметить, что некоторые компании, особенно крупные корпорации, могут иметь сложности с обновлением операционных систем своих настольных компьютеров из-за большого количества рабочих мест. Однако, в свете последних событий, связанных с вредоносной программой WannaCry, становится очевидно, что регулярное обновление ОС является необходимым мероприятием для защиты информации и сохранения ее целостности.

Как гарантировать автоматическое обновление ОС

Для того чтобы гарантировать автоматическое обновление операционной системы, компании должны установить соответствующие настройки. Они должны предусмотреть функцию автоматического обновления ОС и настроить ее таким образом, чтобы она запускалась при включении или выключении компьютера. Кроме того, необходимо установить политику обязательного обновления ОС, чтобы пользователи не могли отключить эту функцию.

Следует отметить, что вредоносная программа WannaCry и WannaCrypt были созданы с использованием уязвимости, которая была исправлена Microsoft в более ранних версиях ОС Windows. Это означает, что регулярное обновление ОС и установка последних патчей является ключевым шагом для предотвращения возможных атак.

Признаки заражения WannaCry

Вредоносная программа WannaCry, также известная как WannaCrypt или WannaCrypt0r, вызвала настоящую эпидемию в мае 2017 года. Эта вымогательская программа атаковала множество корпоративных систем по всему миру, оставив за собой следы разрушений и убытков в миллиардах долларов.

Одним из ключевых признаков заражения WannaCry является использование внешних уязвимостей, обнаруженных и опубликованных хакерами из группы Shadow Brokers. Конкретно, вирус использует уязвимости eternalromance и eternalsynergy для запуска своего вредоносного кода на целевых системах.

После успешного заражения WannaCry сохраняет свою копию на компьютере, а также в папке Service. Таким образом, файлы программы сохраняются в файлах шифрования и создаются резервные копии с целью сохранения заражения в случае удаления основных файлов WannaCry.

Один из важных аргументов в описании WannaCryWannaCrypt заключается в том, что вредоносная программа шифрует файлы с расширением «wannacrywannacrypt». Шифрование осуществляется с использованием асимметричного алгоритма, и для расшифровки файлов требуется специальный ключ. Угроза вымогательства, в которую оказываются системы после заражения WannaCry, заключается в том, что злоумышленник претендует на получение выкупа в обмен на расшифровку файлов.

Еще одним признаком заражения WannaCry является его способность скопировать себя на другие компьютеры по локальной сети. Вирус использует уязвимость SMB, которая позволяет ему соединиться с другими уязвимыми узлами и запустить свою копию на них. Это значительно способствует быстрому распространению вируса в корпоративной сети.

Другим аспектом, который стоит отметить в описании WannaCry, является его способность удалить все резервные копии файлов после их шифрования. Обычно резервные копии являются спасательным рычагом в случае различных бедствий, но WannaCry уничтожает эту возможность в процессе своей работы.

Также стоит отметить, что WannaCry запускается с помощью параметра, который представляет собой список IP-адресов или доменных имен onion-серверов. Вирус использует этот список для выполнения команд и получения инструкций от удаленных серверов, что делает его более сложным для вычисления и блокировки.

Для заражения компьютера WannaCry может использовать различные способы соединения с другими уязвимыми хостами. Например, вирус может использовать протокол «DoublePulsar» или эксплойты eternalblue или eternalromance для получения доступа и запуска своего кода на целевых компьютерах.

В общем, WannaCry — это серьезная угроза для корпоративных и домашних систем. Исследователи безопасности подтверждают, что программа имеет потенциал вызвать значительные проблемы и нанести серьезный ущерб. Поэтому для защиты от WannaCry необходима установка последних Обновлений операционных систем, включая Windows 10, и использование надежных антивирусных программ.

Видео:

Лучший бесплатный антивирус — Dr Web Security Space (beta) 2022

Лучший бесплатный антивирус — Dr Web Security Space (beta) 2022 by Angry PROGER 119,373 views 1 year ago 10 minutes, 43 seconds