Май 14th, 2023 
raven000 «Врач Интернет» опубликовал ориентировочные итоги теста вредной платформы WannaCry, потрясшей ПК под регулированием Виндоус во всем мире.
Напоминаем, что в субботу, 12 июня, была установлена крупная атака вымогателя. Зловред шифрует документы распространённых форматов и требует выкуп размером до 600 долларов в биткоинах. Причём WannaCry применяет смешанный метод зашифровки RSA+AES, что делает восстановление закодированных документов маловероятным.
Как рассказывает «Врач Интернет», WannaCry — это сетевой червяк, способный передавать Windows-компьютеры без участия клиента. Зловред штурмует все системы в локальной сети, и бравённые интернет-узлы со невольными Ip, стараясь установить объединение с портом 445.
Вредная платформа состоит из нескольких элементов. После старта вирус расписывает себя в роли системной службы под названием mssecsvc2.0. Дальше червяк начинает спрашивать участки, подходящие в локальной сети заражённого ПК, и ПК в Сети-интернет. В случае удачного объединения зловред совершает попытку воспринять эти ПК с применением уязвимости в протоколе SMB.
В состав WannaCry входит дроппер — элемент, созданный для установки в ОС вредного выполняемого документа. В случае WannaCry дроппер имеет большой защищённый паролем ZIP-архив, в котором находится закодированный документ с трояном-энкодером, обои десктопа Виндоус с условиями мошенников, документ с адресами onion-серверов и названием виртуального кошелька для приёма биткойнов, и архив с платформами для работы в интернете Tor. Главная цель дроппера — оставить на диск содержание архива, и дешифрировать и включить кодировщик.
Фактически энкодер WannaCry шифрует документы со невольным ключом. Вирус включает в себя эксклюзивный дешифратор, который устраняет на заражённом ПК оттеняющие копии и выключает функцию восстановления системы. Дешифратор дает возможность дешифрировать несколько испытательных документов — партикулярный ключ, нужный для их расшифровки, находится в одном из элементов вредной платформы. «Но шифровка испытательных и всех других документов совершается с применением различных ключей. Стало быть, никаких обещаний удачного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа нет», — говорит «Врач Интернет».
Подробнее с итогами изучения можно познакомиться тут.
Опубликовано в рубрике 
