PandaSecurityRus May 17 2017 at 13:39

Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам

18 min

22K

Panda Security в России и СНГ corporate blogAntivirus protection*

+12

Comments 19

7313 May 17 2017 at 16:29

А нет ли какой-нибудь информации в какой папке создается и откуда запускается самый первый файл DB349B97C37D22F5EA1D1841E3C89EB4? Особенно интересно в какой момент повышаются права. Если изначально файл создается где-нибудь в temp или appdata и уже оттуда запускается и начинается первый шаг это одно, а вот если сразу в папке windows, то это вообще засада…

alkoro May 18 2017 at 10:33

Значит, нужно сделать это самому ;). Что будет, если создать папку в C:\Windows\ c именем mssesvc.exe, положить в неё что либо, убрать права? Дополнительно можно создать мьютексы-индикаторы заражения (утилита на гитхабе препятствует запуску шифровальщика). Кто умеет, может потом прикрутить мониторинг исчезновения файла в указанной занятой папке и возвещать любыми средствами об атаке. Судя по тексту, функционал червя не заботится о корректности работы, и, возможно уже занятое имя (имена) файлов будет препятствовать запуску.

ntimofeev May 18 2017 at 07:41

Не видел информации — у зараженных какие-нибудь средства защиты стояли, кто-нибудь в курсе?
А то получается, что или пострадавшие организации экономят на защите или средства защиты не справились.
Какое-то странное молчание по этому вопросу.

PandaSecurityRus May 18 2017 at 10:43

По целому ряду причин информация о том, какие средства защиты стояли, не разглашается.
Вариантов немного (возможно в сочетаниях): либо средства защиты не были обновлены, либо не был пропатчен Windows, либо текущие средства защиты не смогли предотвратить заражение.

ntimofeev May 18 2017 at 10:49

Вот эта тишина и настораживает.
Особенно непонятно, почему домен для остановки атаки зарегил какой-то парень из Британии, а не тот же MS или другая компания, кто рапортует о наблюдении за атакой чуть ли не с утра 12 числа.
Люблю, когда логично. Понимаешь, что тебя разводят, но хотя бы не как дурака, а как уважаемого человека.
А тут все не логично и странно :)

PandaSecurityRus May 18 2017 at 12:07

Вот эта тишина и настораживает.

Поэтому мы и пишем в своих статьях, что на самом деле еще очень много остается вопросов без ответов.
А потому опубликованный анализ пока предварительный.

Анализ всей ситуации продолжается и уже появляются новые интересные факты и угрозы, использующие эту же уязвимость, но несколько иначе. Так что видимо все еще впереди. Думаю, что мы в ближайшее время об этом напишем.

Machine79 May 18 2017 at 07:41

Интересно столько написано статей о WannaCry А как они получают информацию кто заплатил? Столько зараженных машин и надо контроль вести учета кого разблокировать. Скорее всего они каким то образом связываются с клиентом скажем так? Или в вирусе прописано с какого кошелька отправлено? Как происходит вся система оплаты?

remzalp May 18 2017 at 09:09

список кошельков нашли внутри файла, учитывая, что блокчейн открыто публикуется, можно посмотреть транзакции по этим кошелькам.

Machine79 May 19 2017 at 08:38

Транзакции идут а как понять что именно тот кто надо перевел?

InfoRival May 18 2017 at 07:41

Ткну «пальцем в небо». Может быть, не КНДР, а Германия? При поддержке Нидерландов…

PandaSecurityRus May 18 2017 at 09:02

18 мая в 14:00 (мск) состоится специальный вебинар, посвященный экспертному анализу шифровальщика WannaCry: что это такое, этапы заражения, средства восстановления. Анатомия этапов выполнения атаки и ее распространение.

Ведущий: Луис Корронс (Технический директор PandaLabs)
Вебинар будет проводиться на английском языке.

Подробности и регистрация на вебинар https://habrahabr.ru/company/panda/blog/328956/

Dioxin May 18 2017 at 10:08

«Почему АНБ не сообщило о данной критической уязвимости в Microsoft?»
1. Ответ на этот вопрос очевиден — чтобы иметь лазейку для себя.
2. Возможно и сообщили, но при этом «попросили» не затыкать пока факт наличия не вскроется.

Nanaki278 May 19 2017 at 08:22

Это все конечно мило… но блин, кто-нибуть может объяснить в чем такая крайняя необходимость сидеть 445тым портом наружу? Уже же были истории с Sasser и MSBlast, или типа время идет, и ничего не меняется? xD

alk May 19 2017 at 10:42

Потому что это очень удобно и просто для использования, есть масса решений для совместной работы пользователей через расшаренную папку, например, в Revit. В Azure есть даже такая услуга, расшаренная папка нужного размера, очень удобно и недорого.

Nanaki278 May 19 2017 at 10:54

«наружу» подразумевалось биндить smb/rpc порты на wan-интерфейс. Спасибо про пояснение касаемо расширенных ресурсов, вкурсе ага… но блин не через интернет же. xD

alk May 19 2017 at 11:03

Да почему же нет? Уязвимости встречаются и для других протоколов, волков боятся, в лес не ходить.

Nanaki278 May 19 2017 at 15:01

Ну черт его знает… шарами наружу… ну, такое… а это, а как же тоннелирование? Почему б не завернуть локалку в VPN? Зачем «наедятся» на чудо? Все же читали про «отказ от ответственности» в лицензионном соглашении винды. =^_^=

Driver86 May 22 2017 at 07:50

Наверное, особо важные данные лучше держать в linux-системах, например ubuntu. А сравнение с томагавками некорректно. Томагавки охраняются и доступ к ним только военным, да и и то не всем. А дыра в Windows свободна — лезь кто хочет. Сравнить надо с домом, где есть чёрный ход без замка, но прикрыт ветками, мусором и не приметный. Но кто угодно, если его найдёт (в том числе и случайно) попадёт к вам.

Machine79 Jun 6 2017 at 18:47

Хотите расшифровать файлы читайте здесь: Расшифровать файлы после WannaCry