WannaCry (WCry or WanaCryptor) - это известная программа Ransomware, использующая эксплойт EternalBlue. Эта вредоносная программа известна тем, что заразила не менее 200 000 компьютеров по всему миру и продолжает оставаться активной и опасной угрозой.
Что такое WCry ransomware?
WannaCry, иногда также называемый WCry или WanaCryptor, является вредоносным ПО с функцией выкупа, то есть он шифрует файлы своих жертв и требует плату за восстановление похищенной информации, обычно в биткоинах с суммой выкупа от $300 до $600 в эквиваленте.
Вирус можно описать как ransomware типа Dharma или Ryuk, но с функцией червя, поскольку он способен распространяться в зараженных сетях с помощью эксплойта EternalBlue. Кроме того, вирус использует эксплойт DoublePulsar для загрузки и выполнения копии себя на новой машине.
Как только WannaCry проникает на целевой компьютер, он начинает свою вредоносную деятельность с проверки наличия жестко закодированного домена kill switch - либо fferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, либо iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. В случае, если такой домен найден, вредоносная программа прекращает выполнение. Однако если домен kill switch не найден, программа-вымогатель шифрует файлы на машине, после чего происходит попытка использовать уязвимость SMB. Это делается для того, чтобы распространить вирус на другие случайные ПК и все те, которые подключены к локальной сети. После завершения шифрования пользователю показывается записка с требованием выкупа, в которой злоумышленники требуют заплатить 300 долларов США в течение 3 дней. Если жертва сопротивляется, сумма выкупа увеличивается до $600, которые должны быть выплачены в течение 7 дней. Платежи направляются на несколько жестко закодированных биткоин-адресов. Типично для криптовалюты, любой может проверить баланс и историю транзакций, но истинный владелец такого кошелька не может быть отслежен.
Общее описание WannaCry
Впервые вредоносная программа WannaCry была замечена в дикой природе как часть разрушительной всемирной атаки, произошедшей в мае 2017 года. В атаке использовался эксплойт EternalBlue, который, как полагают, был разработан американским АНБ и просочился в кибербанду, известную под названием "The Shadow Brokers".
Эксплойт использовал уязвимость в операционных системах Windows, и хотя компания быстро выпустила патч, устраняющий эту проблему, многие люди и организации, не успевшие своевременно обновить свои компьютеры, стали жертвами этой атаки.
По некоторым оценкам, более 200 000 компьютеров по всему миру были заражены вирусом WannaCry за те несколько дней, что продолжалась атака. Исправление эксплойта EternalBlue, а также обнаружение "выключателя", который позволял остановить выполнение вредоносной программы, были двумя основными факторами, которые помогли замедлить эту вредоносную кампанию. Однако к моменту завершения атаки общий ущерб составил миллиарды долларов, а пострадали жертвы из более чем 150 стран.
Кампания такого масштаба потребовала проведения международного расследования на самом высоком уровне с целью выяснить, кто стоит за этой вспышкой. В ходе анализа WannaCry эксперты исследовали записки о выкупе и выяснили, что они, скорее всего, были написаны от руки, а авторы, судя по всему, свободно владели китайским и английским языками, как показал лингвистический анализ. Дальнейшее расследование показало, что родным языком писавшего был китайский, поскольку на этом языке были составлены две версии записки с выкупом - одна на упрощенном, а другая на традиционном китайском. Кроме того, некоторые опечатки в записках наводят исследователей на мысль, что для набора текста использовалась китайская система ввода, поскольку ошибки, подобные тем, что были допущены, не могли быть легко сделаны при использовании любой другой формы ввода.
Следует отметить, что в целом записка о выкупе была написана на 28 языках, включая оба китайских варианта. Однако для большинства из этих языков был использован машинный перевод.
Затем ФБР выяснило, что на машине, с помощью которой была составлена записка с выкупом, были установлены шрифты Hangul. Хангыль - это алфавит и система письма, используемые как в Южной, так и в Северной Корее. Дальнейший анализ метаданных языковых файлов показал, что компьютер был настроен на корейский часовой пояс.
После дальнейшего анализа WannaCry исследователи безопасности из Google, "Лаборатории Касперского" и Symantec пришли к выводу, что код WCry имеет сходство с другими вредоносными программами, использованными в атаках на Sony Pictures и банк Бангладеш. Эти атаки были осуществлены так называемой группой Lazarus Group, члены которой были связаны с Северной Кореей.
Конечно, эти доказательства не являются окончательными, так как другие группы могли просто использовать часть кода, созданного Lazarus Group. Более того, использование такого кода могло быть намеренным, чтобы ввести в заблуждение следователей и возложить вину на других киберпреступников.
Однако меморандум АНБ, а также выводы, сделанные Национальным центром кибербезопасности Великобритании, указывали на Северную Корею как страну, из которой исходила атака. Впоследствии правительство Соединенных Штатов официально объявило Северную Корею источником атаки.
Несмотря на то, что атака WannaCry имела поистине беспрецедентный масштаб, ее последствия считаются относительно низкими по сравнению с другими программами-вымогателями. Последствия могли бы быть гораздо хуже, если бы не обнаружение переключателя. Кроме того, вирус мог быть нацелен на инфраструктуры высокого уровня, такие как системы управления транспортом и атомные электростанции. Если бы это произошло, некоторые эксперты оценивают возможные потери в сотни миллионов долларов.
Если говорить о самом анализе WannaCry, то он поставляется в виде дроппера, который содержит различные компоненты в виде ZIP-архива, защищенного паролем. Этот архив распаковывается во время исполнения с помощью жестко закодированного пароля и сбрасывается в каталог, из которого он был исполнен.
WCry ransomware использует два метода шифрования во время своего выполнения: RSA и AES-128-CBC. Чтобы запутать исследователей, сценарий шифрования, содержащийся в файле t.wnry, на самом деле зашифрован точно таким же способом, который вредоносная программа использует для шифрования данных на зараженной машине. Для загрузки модуля в память используется пользовательский загрузчик, поэтому незашифрованная версия файла никогда не записывается на жесткий диск жертвы.
После начала процесса выполнения вредоносная программа использует RSA-ключ для распаковки файла t.wnry и его расшифровки. Затем генерируется новый RSA-ключ и отправляется на C&C-сервер, а дубликат открытого ключа сохраняется на зараженной машине.
Именно здесь вредоносная программа начинает шифровать файлы - вирус ищет на зараженной машине файлы с поддерживаемыми расширениями. Затем для каждого файла, выбранного для шифрования, создается 128-битный ключ AES, который шифруется с помощью созданного ранее ключа RSA. Зашифрованный с помощью RSA ключ AES помещается в заголовок зашифрованного файла. После этого вредоносная программа использует ключ AES для шифрования данных в файле.
Шифрование выполняется таким образом, что восстановить утраченные данные практически невозможно без доступа к закрытому ключу, который хранится на управляющем сервере. Это означает, что для жертвы единственным способом восстановить доступ к своей информации является выполнение требования выкупа, выдвинутого злоумышленниками.
Для обеспечения устойчивости WCry записывает себя в ключи автозапуска в реестре и создает несколько служб.
Как заражается WCry?
Помимо распространения через вредоносные спам-кампании, ransomware использует более интересный способ заражения устройств - использует уязвимость операционной системы в качестве начального вектора атаки. После того как вредоносная программа успешно использует эксплойт и проникает на компьютер, она сканирует IP-адреса в попытке заразить подключенные устройства через уязвимость SMB на порту 445/TCP. Эта уязвимость имеет CVE ID 2017-0144 и также известна как MS17-010 EternalBlue.
Все устройства в локальной сети с потенциальной уязвимостью также будут заражены.
Процесс выполнения WannaCry ransomware
Прежде всего, после запуска WCry отправляет HTTP GET-запрос на жестко заданные домены и прекращает выполнение, если запрос успешен. Хотя процесс выполнения WannaCry довольно прост, он не просто шифрует файлы на зараженной машине, но и пытается заразить как можно больше соседних машин. Для этого программа-вымогатель сканирует все машины с открытым портом 445 и, если соединение установлено, пытается использовать уязвимость SMBv1 (EternalBlue). На локальной системе исполняемый файл WannaCry извлекает и устанавливает двоичные и конфигурационные файлы из своего раздела ресурсов. Он также скрывает извлеченный каталог, изменяет дескрипторы безопасности, создает ключ шифрования, удаляет теневые копии и так далее. После всех этих действий WannaCry шифрует файлы пользователя и устанавливает обои с запиской о выкупе. Кроме того, запускается исполняемый файл @WanaDecryptor@.exe, который предоставляет жертве информацию об обратном отсчете времени и способе оплаты.
Предотвращение атак WCry
Чтобы предотвратить потенциальные атаки WannaCry, пользователям следует установить исправления безопасности, созданные Microsoft в ответ на первоначальный инцидент. Сегодня ранние версии WCry не будут работать, поскольку их killswitch все еще активен.
Заключение
WannaCry, несомненно, является одной из самых разрушительных вредоносных программ, когда-либо использовавшихся в кибератаках. Первая вредоносная кампания с использованием этого опасного вируса имела поистине беспрецедентный масштаб.