Отчеты о целевых атаках (APT)

Вымогатель WannaCry, использованный для атак по всему миру

На прошлой неделе, 12 мая наши продукты обнаружили и успешно заблокировали большое количество атак троянца-вымогателя по всему миру. При этих атаках данные шифровались и получали расширение «.WCRY».

Наш анализ показывает, что атака, получившая название «WannaCry», инициируется посредством удаленного выполнения кода SMBv2 в Microsoft Windows. Этот эксплойт (под кодовым названием «EternalBlue») был опубликован в Интернете в дампе группы хакеров Shadowbrokers 14 апреля 2017 года, хотя компания Microsoft выпустила патч для закрытия уязвимости 14 марта.

К сожалению, оказалось, что многие организации не установили патч.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Источник: https://support.kaspersky.com/shadowbrokers

Команда реагирования на компьютерные происшествия CCN-CERT в Испании опубликовала на своем сайте предупреждение о массированной атаке вымогателя, поразившего несколько испанских организаций. Для прекращения распространения атаки в предупреждении рекомендуется установить обновления из мартовского бюллетеня по безопасности Microsoft.

Национальная служба здравоохранения Великобритании также опубликовала предупреждение и подтвердила заражение 16 медицинских учреждений. Мы подтвердили заражения в нескольких других странах, включая Россию, Украину и Индию.

Важно понимать, что хотя компьютеры с Windows, на которые не установлен патч и у которых службы SMB не защищены, могут подвергнуться удаленной атаке с использованием эксплойта EternalBlue и заразиться вымогателем WannaCry, отсутствие этой уязвимости на самом деле не мешает работе троянца. Тем не менее, наличие этой уязвимости является самым значительным фактором, вызвавшим вспышку заражений.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Предупреждение CCN-CERT (на испанском)

Анализ атаки

На текущий момент мы зафиксировали 45 000 случаев атаки WannaCry в 74 странах, в основном в России. Важно отметить, что наша осведомленность может быть ограничена, данные неполны, а круг жертв намного больше.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Вредоносное ПО, используемое для атаки, шифрует файлы, а также устанавливает и запускает инструмент для дешифровки. Далее отображается требование выплатить $600 в биткоинах вместе с кошельком для оплаты. Интересно, что размер выкупа в этом примере составляет $600, а первые пять платежей на данный кошелек – около $300. Это означает, что вымогатели повышают требования выкупа.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Инструмент по дешифровке составлен на разных языках, чтобы донести сообщение до пользователей во многих странах.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Список языков, которые поддерживает WannaCry

Обратите внимание, что «сумма будет повышена» после завершения обратного отсчета, а также для повышения срочности платежа есть другое предупреждение с угрозой, что пользователь полностью потеряет свои файлы после определенного времени. Не все троянцы-вымогатели ведут подобный обратный отсчет.

Чтобы пользователь точно не пропустил предупреждение, WannaCry заменяет обои рабочего стола на инструкцию, как найти инструмент для дешифровки, установленный вредоносным ПО.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Изображение, заменившее обои рабочего стола

Образцы вредоносного ПО не содержат ссылок на какую-либо определенную языковую или кодовую страницу, кроме универсальной английской и латинской кодировки CP1252. Файлы содержат информацию о версии, украденную из случайных системных инструментов Microsoft Windows 7:

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Свойства файлов вредоносного ПО, используемых WannaCry

Для удобства платежей в биткоинах вредоносное ПО перенаправляет пользователя на страницу с QR-кодом на btcfrog, которая ведет на их главный Bitcoin-кошелек13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Метаданные изображений не предоставляют никакой дополнительной информации:

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Один из Bitcoin-кошельков, используемых злоумышленниками: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Один из кошельков злоумышленника получил за последние часы 0,88 BTC

Другие Bitcoin-кошельки, включенные в файл «readme.txt» хакеров из примеров:

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn — 0.32 BTC

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw — 0.16 BTC

1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

Для управления и контроля вредоносная программа извлекает и использует исполняемый файл службы Tor со всеми необходимыми файлами зависимостей для доступа к сети Tor:

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Список загруженных WannCry файлов, относящихся к службе Tor.

Что касается файлов пользователей, вымогатель шифрует файлы со следующими расширениями:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Расширения файлов, на которые нацеливается вредоносное ПО, содержат определенные кластеры форматов, включая:

  1. Типичные расширения офисных файлов (.ppt, .doc, .docx, .xlsx, .sxi).
  2. Менее типичные офисные форматы и расширения, характерные для определенных наций (.sxw, .odt, .hwp).
  3. Архивы, мультимедиа файлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  4. Электронную почту и базы данных электронной почты (.eml, .msg, .ost, .pst, .edb).
  5. Файлы баз данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  6. Файлы с исходным кодом и проектами разработчиков (.php, .java, .cpp, .pas, .asm).
  7. Ключи и сертификаты шифрования (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  8. Файлы графических дизайнеров, художников и фотографов (.vsd, .odg, .raw, .nef, .svg, .psd).
  9. Файлы виртуальных машин (.vmx, .vmdk, .vdi).

WannaCry устанавливает различные «руководства пользователя» на разных языках:

Болгарском, Китайском (упрощенная письменность), Китайском (традиционная письменность), Хорватском, Чешском, Датском, Голландском, Английском, Филиппинском, Финском, Французском, Немецком, Греческом, Индонезийском, Итальянском, Японском, Корейском, Латвийском, Норвежском, Польском, Португальском, Румынском, Русском, Словацком, Испанском, Шведском, Турецком, Вьетнамском.

Пример «руководства пользователя» на английском:

What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to
recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don’t pay in 7 days, you won’t be able to recover your files forever.
We will have free events for users who are so poor that they couldn’t pay in 6 months.

How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>. Best time to check: 9:00am — 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.

Contact
If you need our assistance, send a message by clicking <Contact Us>.

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets
updated and removes this software automatically, it will not be able to recover your files even if you pay!

Он также загружает командные файлы и файлы сценариев VBS, а также файлы «readme» (содержимое приведено в приложении).

На всякий случай, если пользователь закрыл яркое красное диалоговое окно или не понимает его, злоумышленники загружают на диск текстовый файл с дальнейшей инструкцией. Ниже приведен пример их файла «readme» в виде «@Please_Read_Me@.txt», размещенного во многих директориях жесткого диска ПК жертвы. Обратите внимание, что английский язык здесь хороший, за исключением раздела «Как я могу доверять?» («How can I trust?»).

Q: What’s wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.

If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!

Let’s start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.

Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Next, please find an application file named «@WanaDecryptor@.exe». It is the decrypt software.

Run and follow the instructions! (You may need to disable your antivirus for a while.)

Q: How can I trust?

A: Don’t worry about decryption.

We will decrypt your files surely because nobody will trust us if we cheat users.

* If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

После запуска троянец немедленно создает несколько процессов для изменения прав доступа к файлам и связи со скрытыми с помощью Tor серверами c2:

  • attrib +h .
  • icacls . /grant Everyone:F /T /C /Q
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • @WanaDecryptor@.exe fi
  • 300921484251324.bat
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe

Вредоносное ПО создает мьютекс «Global\MsWinZonesCacheCounterMutexA» и выполняет команду:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

В результате появляется всплывающее окно UAC (User account control – управление учётными записями пользователей), которое пользователь может заметить.

Вымогатель WannaCry, использованный для широкомасштабных атак по всему миру

Всплывающее окно UAC для отключения службы Volume Shadow Service (восстановление системы).

Для связи с серверами C&C вредоносное ПО использует скрытые службы TOR. Список доменов .onion внутри службы выглядит следующим образом:

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • Xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • sqjolphimrr7jqw6.onion

Информация о снижении рисков и обнаружении зловреда

Для остановки этих атак крайне важен модуль «Мониторинг активности» («System Watcher») защитных решений «Лаборатории Касперского». Модуль «Мониторинг активности» умеет откатывать изменения, сделанные вымогателем, даже если троянцу удалось обойти другие средства защиты. Это чрезвычайно полезно в том случае, если зловред проскочил защиту и пытается зашифровать данные на диске.

Рекомендации по снижению риска:

  1. Убедитесь, что на всех узлах включены защитных решения на конечных устройствах.
  2. Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
  3. Убедитесь, что на ваших продуктах «Лаборатории Касперского» включен модуль «Мониторинг активности».
  4. Просканируйте все системы. Если вы обнаружите зловреда, который детектируется как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. И опять убедитесь, что патч MS17-010 установлен.

Образцы, на данный момент обнаруженные в атаках:

  • 4fef5e34143e646dbf9907c4374276f5
  • 5bef35496fcbdbe841c82f4d1ab8b7c2
  • 775a0631fb8229b2aa3d7621427085ad
  • 7bf2b57f2a205768755c07f238fb32cc
  • 7f7ccaa16fb15eb1c7399d422f8363e8
  • 8495400f199ac77853c53b5a3f278f3e
  • 84c82835a5d21bbcf75a61706d8ab549
  • 86721e64ffbd69aa6944b9672bcabb6d
  • 8dd63adb68ef053e044a5a2f46e0d2cd
  • b0ad5902366f860f85b892867e5b1e87
  • d6114ba5f10ad67a4131ab72531f02da
  • db349b97c37d22f5ea1d1841e3c89eb4
  • e372d07207b4da75b3434584cd9f3450
  • f529f4556a5126bba499c26d67892240

Вердикты «Лаборатории Касперского»:

  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • PDM:Trojan.Win32.Generic

Эксперты «Лаборатории Касперского» изучают возможность создания программы для расшифровки данных. Мы обязательно сообщим, когда программа будет доступна.

Приложение

Командный файл

@echo off

echo SET ow = WScript.CreateObject(«WScript.Shell»)> m.vbs

echo SET om = ow.CreateShortcut(«C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk»)>> m.vbs

echo om.TargetPath = «C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe»>> m.vbs

echo om.Save>> m.vbs

cscript.exe //nologo m.vbs

del m.vbs

del /a %0

m.vbs

SET ow = WScript.CreateObject(«WScript.Shell»)

SET om = ow.CreateShortcut(«C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk»)

om.TargetPath = «C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe»

om.Save

Вымогатель WannaCry, использованный для атак по всему миру

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Игорь Мартынов

    Спасибо за статью.

  2. Денис

    Спасибо огромное! Действительно интересная и полезная статья!

  3. drmad

    Не хватает некоторых важных подробностей.
    1) Откуда и как осуществлялась первоначальная рассылка зараженных E-mail-ов?
    2) Как и чем шифруются файлы, какой длины ключ?

    1. using system.net;

      залазили по шаре на 445 порту и с помощью спец кода и дыры в SMB заливал зловред. никаких писем не рассылали. походу майкрософт специально сделало эту лазейку для анб, пока не попала в массы.

  4. Михаил

    Патчи нужно устанавливать вовремя. Большинство пострадавших — крупные конторы, у которых процесс установки обновлений затруднен. Например, больницы. Там серваки и компьютеры работают 24/7. После установки обновлений система должна быть перезагружена, но это практически не делается там, где работа ведется без перерыва — нельзя взять и ребутнуть все компы больницы, это может привести к беде.
    Поэтому именно те, кто не обновился, оказались зараженными.

  5. using system.net;

    Извените, а у вас не будет кода скрипта который используется для аттаки непропатченого _smb на 445 порт ?

  6. Сергей

    Спасибо ! Очень толковая статья. И вовремя опубликованная. Именно forum.kasperskyclub.ru оперативно подсказал все прямые ссылки на «заплатки».

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике