Компании T&T Security и Pentestit разобрали код нашумевшего вируса-дешифратора, чтобы понять, как он работает.

Wanna Decrypt0r является второй версией WannaCry, в нём усовершенствовали способ распространения. Всего по состоянию на 14 мая известно о трёх вариантах вируса: фишинговая, киллсвитч и без киллсветчера. Киллсвитч-версия попала в первую волну атаки, сейчас рост и распространения вируса замедлился, но не остановился, а на носу третья версия, которую создали буквально в течении суток. Пока не известно, как будет проявлять себя в работе новый дешифратор.

В 19:00 того же дня по московскому времени число заражённых машин достигло 236 648.

Хакеры принимают выкупы на три биткоин-кошелька. Суммы на балансе известны:

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn: 4.33279223 BTC — $7799
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94: 6.00472753 BTC — $10808
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw: 8.78127705 BTC — $15806

Управляются вирусы посредством пяти серверов Tor:

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Сообщение с требованием выкупа переведено на следующие языки: болгарский, китайский, китайский (традиционный), хорватский, чешский, датский, голландский, английский, филиппинский, финский, французский, немецкий, греческий, индонезийский, итальянский, японский, корейский, латышский, норвежский, польский, португальский, румынский, русский, словацкий, испанский, шведский, турецкий, вьетнамский.

Вот список файлов, которые подвергаются шифрованию, в двух словах можно сказать, что шифруется буквально все. Ключ расшифровке не поддаётся.

Microsoft успела обезопасить своих пользователей от взлома, выпустив соответствующий патч ещё в марте для всех версий Windows. Даже Windows XP, которая давно не поддерживается, получает новый патч.

Вирус закрепляется в системе на 90%, сразу после внедрения он начинает распаковку исполняемых файлов, соединяется со своими серверами в сети Tor. Для выполнения кода вирус модифицирует настройки ОС.

Если вы нашли ошибку, пожалуйста, отправьте автору подзатыльник! Выделите фрагмент текста и нажмите Ctrl+Enter.


  • toddscott

    Я правильно понимаю, что без интернета вирус работать не будет? Он же получается не сможет к серверам тора и биткоин-кошелькам подключиться.

  • Leonisimo Constantinov

    Основная проблема многих пользователей — не грамотное использование интернет-ресурсов.
    Не так много людей, как могло бы показаться, знают, как обезопасить себя даже без антивируса.

    Я пользовался разными антивирусами, но самый лучший — это Norton и Dr.Web(но мне не удалось им попользоваться больше 5 дней, но то, что мне нужно, он нашёл). Долгое время я пользовался бесплатным Windows Defender, от того, что он бесплатный, а пиратить антивирус я не хотел. Так же использовал и использую утилы поиска и устранения вирусов. Мне это помогало, хоть и антивирус дерьмо — особенно в W10.

    Обычно, я сам ищу вирусы, удаляю их, все исходники и не знаю особых проблем. Глобальные вирусы как WCrypt меня не трогали. Так же я бывает специально скачиваю вирусы, чтобы знать, как их устранить. Это очень полезный способ самообучения, но нужно знать хотя бы примерно, что ты скачиваешь, делать резервные копии файлов, либо обезопасить их, как только возможно!

    Спасибо за внимание!
    Мирного интернета вам перед глазами!

    https://uploads.disquscdn.com/images/5a382dd0454d35b3ec5ce91d5bd92f72a0c1d4cbac36662b4062c327acbfe19a.jpg

  • Leonisimo Constantinov

    Верно, но есть одно «Но»: сохранённые пароли на компьютере.

  • Timur Grigoryan

    Подожди, к примеру у меня скачался вирус и я почти сразу отруби интернет, что дальше будет?

  • Leonisimo Constantinov

    То есть шанс остаться «выжившим». Дальнейшие действия зависят от того, что за сообщение тебе выбило.

    И вирус не проявляется прямо сразу, так что ты не можешь знать, всё ил в порядке. Он может отправить инфу ещё 30 секунд тому назад.

    Совет: Просто не скачивай и не открывай ничего подозрительного, в чём ты не уверен на все 100%! Не переходи по ссылкам, в которых ты так же не уверен на все 100%!

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: