Личное дело: WannaCry/WannaCrypt

01. 06. 2017
WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя — Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу. Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB. Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.
 
Эпидемию WannaCry удалось остановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к интернету. Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe. Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение.
 
Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо: 
  • Отключить неиспользуемые сервисы, включая SMB v1.
  • Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).
  • Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.
  • После отключения уязвимых сервисов установить последние обновления (как минимум, Microsoft Security Bulletin MS17-010 или патч для Windows XP, Windows Server 2003 R2). 
  • Не использовать снятые Microsoft с поддержки старые версии операционной системы Windows, особенно Windows XP. Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиками и иными вредоносными программами. 
  • Использовать резервное копирование данных, как на внешние, так и на удаленные хранилища (Тест систем резервного копирования и восстановления данных).
Для защиты от шифровальщиков (включая WannaCry) необходимо не допускать ошибок в организации антивирусной защиты
  1. Не исключать из проверки используемые приложения и диски.
  2. Вовремя продлевать лицензию и обновлять антивирус.
  3. Использовать проактивную защиту, антиспам и контроль программ.
  4. Ограничить доступ к потенциально опасным веб-сайтам, используя веб-фильтрацию.
  5. Запретить отключение антивируса.