«Доктор Веб»: описание Trojan.Encoder.11432 ( WannaCry ).

Добавлен в вирусную базу Dr.Web: 2017-05-12
Описание добавлено: 2017-05-16
SHA1:
— Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
— Дроппер энкодера: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
— Энкодер: 7d36a6aa8cb6b504ee9213c200c831eb8d4ef26b
— Авторский декодер: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10

Многокомпонентный сетевой червь, известный под именем WannaCry. Написан на языке C/C++, собран в среде разработки MS Visual Studio, не упакован. Содержит в собственном теле две динамические библиотеки. При запуске пытается отправить GET-запрос на удаленный сервер // www .iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com без кэширования результатов. Если получает ответ от сервера, завершает работу.
Запускается как системная служба Windows с именем «mssecsvc2.0» (видимое имя – «Microsoft Security Center (2.0) Service»). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис «mssecsvc2.0» и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.
Для собственного распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Дроппер
Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:
b.wnry — файл с обоями Рабочего стола Windows;
c.wnry — файл содержит адреса onion-серверов и адрес BTC-кошелька;
t.wnry — зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;
s.wnry – архив, содержащий ПО для работы с сетью Tor.

После запуска пытается установить себя в следующие папки:
%SYSDRIVE%\ProgramData (если папка существует)
%SYSDRIVE%\Intel
%SYSDRIVE%
%TEMP%
При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe.
Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора («cmd.exe /c path») и запускает эту службу. В случае неудачи запускается как обычное приложение.
При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.

Троянец-шифровальщик
Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.
В зашифрованном файле сохраняется:
маркер (8 байт): WANACRY!;
длина зашифрованного ключа (4 байта);
зашифрованный ключ (256 байт);
информация о типе шифрования (4 байта);
исходный размер файла (8 байт);
зашифрованные данные.
В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.

Шифровальщик содержит авторский декодер, который выполняет следующие функции:
установка обоев рабочего стола из файла b.wnry;
удаление теневых копий;
отключение функции восстановления системы;
распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.

Декодер способен воспринимать следующие параметры командной строки (без аргументов):
fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;
vs — удаляет теневые копии и отключает восстановление системы.
Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной.
________________________________________

⇒ Рекомендуемый продукт: Dr.Web Enterprise Security Suite
Централизованная защита всех узлов корпоративной сети.. от 400 руб/год. Подробнее>>
________________________________________

Сетевая активность
Для обмена информацией с удаленными серверами троянец использует собственный протокол. Можно выделить три типа сетевой активности:
отправка сообщений авторам троянца;
запрос имени BTC-кошелька;
проверка оплаты выкупа.
Перед началом сеанса связи троянец проверяет наличие соединения и выбирает адрес onion-сервера из записанных в конфигурации. Для проверки работоспособности сервера соединяется с ним по 80-му порту через сеть TOR и устанавливает сессионный ключ, после чего передается полезная информация.
Передаваемые пакеты данных шифруются.
При отправке сообщений авторам троянца текст размером менее 10 символов не отсылается, вредоносная программа возвращает ошибку «Too short message!». Сообщения длиннее 1000 символов урезаются до 1000. Декодер не позволяет отправлять сообщения слишком часто (эти ограничения реализованы в самом декодере).
При нажатии на кнопку проверки платежа декодер пытается прочитать файл, содержащий публичный ключ, и файл с приватным ключом. Если чтение прошло успешно, проверяет их соответствие путем шифрования и расшифровки тестового буфера. Если файла с приватным ключом нет или он не соответствует файлу, содержащему публичный ключ, троянец обращается к своим серверам.
Отправив данные на сервер, ожидает получения расшифрованного файла eky (приватная часть RSA-ключа).

WannaCry/WannaCrypt. История и описание вируса

В статье подробно рассмотрен феномен вируса-шифровальщика WannaCry/WannaCrypt, эпидемия заражения которым стремительно началась 12 мая 2017 года. Описаны основные функции этого вредоноса, а также механизмы защиты от подобного рода атак в будущем.

По информации сайта анти-малвэйр .

Преамбула

Введение 12 мая 2017 г. под конец дня, когда все администраторы и специалисты по безопасности стали собираться по домам и на шашлычки, мир облетела новость о начале беспрецедентной атаки WannaCry. WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяется масштабом распространения и используемыми техниками. Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут, что совершена хакерская атака на крупнейшие холдинги, в том числе на «Сбербанк» и МВД России. В Интернете появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Начальный этап атаки WannaCry приведен ниже на статичном изображении.

Вирус-вымогатель WannaCry, возможно, написан выходцами из Южного Китая. Сотрудники компании Flashpoint решили изучить не исходные коды и поведение вредоноса, а провести лингвистический анализ сообщения с требованием выкупа. Исследователи компании Flashpoint пишут, что разработчики или WannaCry определенно хорошо знают китайский язык. На это обстоятельство указывает тот факт, что вымогательское сообщение представлено в двух вариантах: один использует традиционные иероглифы, а другой упрощенные. Кроме того, вымогательское послание на китайском явно отличается от английского шаблона, и его писал человек, хорошо знакомый с тонкостями языка.

Корни WannaCry

Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ, утекло «очень опасное кибероружие» (в чем они, как обычно, не признаются). Об этом стало известно, когда человек из хакерской группировки The Shadow Brokers выложил это «оружие» в интернет. Среди них был эксплойт EternalBlue. В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows, используя его стандартный сервис доступа к файловой системе по сети — протокол SMB. Архив, опубликованный кибергруппировкой The Shadow Brokers, содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch. Последний представляет собой модульное ПО (разработанный АНБ эквивалент Metasploit), позволяющее за несколько минут взломать целевую систему и установить бэкдор для удаленного управления компьютером.

В компании Microsoft провели анализ эксплоитов и заявили, что уязвимости в протоколе SMB версии c 1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, некоторые устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147). Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году. Как отметили в компании, инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут. Уязвимость, использованная шифровальщиком WannaCry, имеется только в Windows — иные операционные системы (в том числе Linux, macOS, Android) не пострадали. Но расслабляться не стоит — в этих ОС имеются свои уязвимости.

Нужно отметить, что для ряда устаревших систем (Windows XP, Windows Server 2003, Windows 8), снятых с поддержки, Microsoft выпустила экстренные обновления. Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю… Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении…

Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?»

Действительно — почему? Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма — если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается. Для шифрования используется американский алгоритм AЕS с 128-битным ключом. В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. Из-за этого расшифровка тестовых файлов возможна. В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа. Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя — Microsoft Security Center (2.0) Service). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу. Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB. Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

Эпидемию WannaCry удалось остановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к интернету. Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe.

Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение. Важно отметить, что троянец нацелен не только на российских пользователей — об этом говорит список поддерживаемых языков. m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese Автор шифровальщика неизвестен, написать его мог кто угодно, явных признаков авторства пока не обнаружено, за исключением следующей информации:

0x1000ef48, 24, BAYEGANSRV\administrator

0x1000ef7a, 13, Smile465666SA

0x1000efc0, 19, wanna18@hotmail.com

0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

0x1000f024, 22, sqjolphimrr7jqw6.onion

0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1

0x1000f1b4, 12, 00000000.eky 0x1000f270, 12, 00000000.pky

0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо: