Как искать WannaCry?

Почему WannaCry? Сильно нашумел. Информации о нем достаточно. Все последователи похожи на него. А методы обнаружения схожи…

Антивирус:

Межсетевой экран:

IDS/IPS

Имя сработавшего правила содержат «SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection»
Имя сработавшего правила содержит WannaCry
Имя сработавшего правила содержит MS17-010 или ETERNALBLUE
Рост количества запросов по 445 порту
Массовое обращение к различным адресам по 445 порту
Запрос DNS имени WannaCry kill switch
Обращение к узлам TOR

Контроль файловых операций

Массовое изменение файлов .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc
Создание файлов с расширением .WCRY

Рабочие станции

DNS сервера

Песочница

Прочее