WannaCry

Для окончательного закрытия проблемы EternalBlue (WannaCry) необходимо отключить SMBv1.

Почему WannaCry? Сильно нашумел. Информации о нем достаточно. Все последователи похожи на него. А методы обнаружения схожи…

Cyble Research and Intelligence Labs (CRIL) активно отслеживает фишинговые кампании, использующие игровые сайты в качестве канала распространения различных семейств вредоносных программ. Недавно CRIL обнаружила фишинговую кампанию, направленную на русскоязычных геймеров с целью распространения программ-выкупов.

Ransomware, получившее публичное название "WannaCry", "WCry" или "WanaCrypt0r" (на основании строк в бинарном файле и зашифрованных файлах), распространилось по меньшей мере в 74 странах, первоначально нацелившись, как сообщается, на Россию и распространившись, в частности, на телекоммуникации, судоходство

При заражении целевого компьютера WannaCry, начинает свою вредоносную деятельность, проверяя наличие жестко закодированного домена kill switch. В случае обнаружения такового вредоносная программа прекращает выполнение.

Разбор сигнатуры IDS: ET TROJAN Possible WannaCry? DNS Lookup 1

Разбор сигнатуры IDS: ET TROJAN Possible WannaCry? DNS Lookup 2

Разбор сигнатуры IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1