Петр Алексеевич под псевдонимом Petya.A просит денегСлежу за развитием событий по Петьке, в этом посте соберу компиляцию информации.
Много источников, основная техническая информация - от комментариев сисадминов во всяческих обсуждалках, официальные источники различных новостных агенств.
Как оно работает когда заражение произошло:
Переписывает MBR
, регистрирует плановый рестарт от пользователя SYSTEM (это "настоящий" админ в Windows - аналог root в других системах). Перезагрузка не сразу - до оной идет распространение вируса, но об этом - ниже. При перезагрузке - выдает на экран ложную картинку checkdisk-а, начинает шифровать. Шифрует раздел целиком. Ну и рисует требование выкупа - 300$. Данные на всяческих внешних дисках и сетевых шарах - не ширует по понятным причинам.
Если MBR перезаписать не удалось (нет прав например) - идет шифрация файлов во время работы оси. Причем - шифрует
в первую очередь всяческие .doc, .pdf файлики и прочую
потенциально важную информацию. Элегантно - старается нанести максимальный ущерб за минимальное время. Про избирательную шифрацию - на основе информации про разобранный под микроскопом диск с недошедшим до конца процессом.
Ограничение прав пользователей - работает частично. Где-то помогло уменьшить ущерб, где-то защитило, где-то не помогло вообще.
Распространение.Тут самое интересное, ибо распространяется оно по нескольким каналам.
Это
не time-bomb, как я подумал сначала - есть сообщения, что системы, восстановленные из резервных копий, на утро 27-го чисты.
Старт.Старт - шикарен! Судя по всему - сломали
сервера M.E.doc или медок. Это программа предоставления всяческой там электронной отчетности в различные гос ведомства Украины. Вирус запихнули в
обновление медка на сайте
производителя, а такие важные штуки как медок - стоят на серверах организаций и обновляются автоматически. Отсюда - массовое заражение
серверов множеста Украинских предприятий со старта через автообновление медка с сайта
производителя. Информация пока не получила официального подтверждения, но по множеству сообщений от различных пострадавших -
лично я уверен на 95% - есть подтверждение в блоге microsoft.
После попадания в сеть - рассылка инфицированных .pdf, .docx файликов по списку рассылки. Именно по этому каналу оно
разбегается в сети, инфицируя новые предприятия и компьютеры обычных пользователей. Зацепило Россию, Беларусь, европу, есть уже случаи заражения в США. Возможно есть и другие каналы распространения.
И самое вкусное! - расползание по локальной сети. Используется эксплойт уязвимости smb1 протокола Windows.
Весенний WannaCry фикс (MS17-010) не работает - мелкософт не закрыл дырку до конца судя по всему. Антивирусы его - не видят, самые свежие обновления Windows - не помогают. smb1 дыра - только один из способов и старые заплатки таки помогають (если верить Microsoft
). Вот только оно делает всё очень красиво, используя инфраструктуру мелкософта по полной!
Достаем логин-пароль пользователя напрямую из памяти. Утилита, достающая оные из памяти, известна с 2012 года. Кому интересно - гуглим Mimikatz.
Сканируем сеть на предмет открытых папок, копируем себя и запускаем на удаленной машине через PSEXEC, используя полученные пароли.
Если нам фортануло, и мы попали на доменный контроллер - вместо сканирования - получаем список адресов всех подсетей и компов из DHCP напрямую (в этом случае уже можно говорить, что к нам пришло нечто с большой буквы П)!
Плюс к тому - оно пытается вытащить данные других пользователей с
локального хранилища и использовать их.
Плюс к тому - для активных соединений оно использует дупликат используемого токена вместо логин/пароля...
И если
хоть на одной машине оно выловит логин-пароль администратора домена - хана
всем Windows машинам, в том числе и серверам.
Алгоритм шифрования:
1. Генерируем уникальный AES ключ.
2. Шифруем под этим ключем.
3. Ключ - шифруем открытым RSA ключем, вбитым в код вируса, ложим в файлик README.txt в корне.
4. Очищаем память с исходным ключем, применявшимся для шифрации данных на диске.
Дешифратора в ближайшее время ждать не стоит, возможно - он не появится никогда.
Есть "kill switch" - создвем файлик C:\Windows\perfc и всё ок, но метод может скоро перестать работать с появлением новых версий вируса.
В общем, WannaCry 2.0, но в отличие от предшественника - не поделка на коленке, совсем не поделка. Низкоуровневая работа с MBR, избирательная шифрация, разнообразные методы распространения... Работа профессионалов. Не удивлюсь, если увижу еще парочку волн эпидемии.
PS. Отредактировал пост, добавив новые данные.
Наиболее полная КМК информация - в блоге Microsoft:
https://blogs.techne…abilities/
Отредактировано: Podli - 28 июн 2017 16:28:02