WanaDecryptor

Наверно, всем уже известен вирус “WannaCry” и его последствия, меньше чем за два часа заражение было обнаружено в 11 странах мира, всего за 24 часа он поразил крупные учреждения, call-центры сотового оператора, МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров) и.т.д

Вирус относится к так называемому семейству вымогателей-шифровальщиков. Сам метод не новый, но вот способ проникновения данного вируса на компьютер достаточно интересный, основан на уязвимости в протоколе SMB, (до этого подобные вирусы попадали в систему через почту во вложении), которую “Microsoft” закрыл в мартовском обновлении, а точнее 14 марта 2017 года, исправление получило название “ms17-010”. Многие отключают обновления с целью экономии времени при включении, так как крупные обновления устанавливаются при включении/отключении системы, да и просто в связи с информацией об отправке достаточно подробных отчетов работы пользователя в компанию Microsoft, появившейся с выходом windows 10. В дальнейшем данные отчеты были добавлены во все предыдущие версии ОС все с теми же обновлениями. Хочу заметить, что подверженны исключительно ОС windows.

Как уже было сказано ранее, вирус попадет в систему по SMB, точнее, по SMBv1, по порту 445. В этом его новшество. Ранее для его попадания требовался запуск с помощью пользователя, который открыл файл во вложении. Сейчас же вирус попадает по открытому порту в интернет.

В данный момент активность вируса приостановлена, но это временно. Ее получилось остановить с помощью изучения методов запуска вируса. Было выявлено, что вирус при старте обращался к домену “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” и при его наличии переставал свою деятельность в системе. Данный домен можно назвать выключателем.
После нахождения данного “выключателя” данный домен был зарегистрирован, что позволило остановить зловред.

“#procomputers_pro”

Comments are closed.