Детонация WannaCry в лабораторных условиях привела к разрушению виртуальной машины из-за перегрузки инструментов мониторинга

Согласно отчёту об эксперименте, проведённом 6 мая 2026 года, тестирование проводилось на виртуальной машине под управлением Windows 10 с выделенными 4 ГБ оперативной памяти. В качестве подопытного образца использовался классический вымогатель WannaCry (известный также как WannaCryptor). Среда была полностью изолирована от внешних сетей через интерфейс host-only.

При первом запуске полезной нагрузки произошло неожиданное событие. Ожидалось появление красного окна с требованием выкупа, однако вместо этого на экране на долю секунды появилось окно cmd.exe, после чего виртуальная машина мгновенно перезагрузилась. При загрузке система выдала сообщение "Operating System Not Found" - операционная система не найдена. Вместо шифрования файлов произошло полное уничтожение виртуального жёсткого диска. Дальнейший анализ показал, что к этому привёл не сам вымогатель, а инструмент Process Monitor (Procmon), установленный для наблюдения за поведением вредоносного кода.

Procmon регистрирует каждое действие процесса в реальном времени. WannaCry шифрует файлы с чрезвычайно высокой скоростью, генерируя миллионы операций ввода-вывода за миллисекунды. Эти события начали накапливаться в оперативной памяти виртуальной машины, мгновенно исчерпав выделенный объём. Возникла паника ядра - kernel panic - операционная система аварийно завершила работу, причём в момент записи данных на диск произошло повреждение загрузочного раздела EFI. Исследователь восстановил среду из сохранённой копии и предпринял попытку оптимизировать работу инструмента.

Для предотвращения истощения памяти была настроена строгая фильтрация Procmon. В меню фильтров создано правило: включать только события от процесса wannacry.exe. Кроме того, активирована опция Drop Filtered Events, которая заставляет инструмент немедленно отбрасывать все фоновые шумы операционной системы, выделяя всю память для логирования именно действий вымогателя. После этого состоялся второй запуск. Результат оказался схожим: система снова заблокировалась, и появилась ошибка времени ожидания сетевого интерфейса EFI. Огромное количество запросов к диску, порождённое шифровальщиком, создало узкое место в подсистеме хранения данных. Инструменты мониторинга вновь усугубили ситуацию.

Исследователь принял тактическое решение провести "голую детонацию" - запуск вредоносного кода без активных средств глубокого логирования. Process Manager был полностью отключён, при этом остались работать Process Explorer и Wireshark. При третьем двойном щелчке по файлу экран моргнул, система зависла и выполнила агрессивную перезагрузку. Однако на этот раз восстановление прошло успешно. Виртуальная машина загрузилась в безопасный режим Windows. Вымогатель довёл операционную систему до грани отказа, но жёсткий диск уцелел. На рабочем столе были обнаружены два артефакта: исполняемый файл @WanaDecryptor@.exe и текстовый документ @Please_Read_Me.txt с требованием выкупа.

Анализ сетевой активности на изолированном интерфейсе показал только стандартный широковещательный трафик - NBNS, ARP, LLMNR. Вредоносная программа не смогла выполнить HTTP-запрос к своему жёстко зашитому домену для остановки шифрования, так как быстрый сбой системы и перезагрузка в безопасный режим оборвали работу сетевого потока. Таким образом, стадия связи с командным центром была прервана.

Эксперимент продемонстрировал важный аспект практического анализа вредоносного кода. Иногда наибольшая разрушительная сила малвари заключается не только в файлах, которые она шифрует, но и в системном шоке, который она наносит операционной системе и инструментам безопасности, пытающимся за ней наблюдать. В данном случае инструменты мониторинга сами стали катализатором аварии. Лабораторная изолированная среда выдержала испытание - изоляция сети сохранилась, а исследователь получил набор индикаторов компрометации для дальнейшей работы.

Bitcoin Wallet Address

• 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

SHA256

• c34af1f1f238747d6839ce6857138e97d722443c4e2a794c072c236228ceaa07