+7 950 002 35 21

Как работает WanaCrypt0r или познакомиться по ближе.

  1. Этот вирус действительно произвел массу, да что массу просто даже нет слов как говорят о нем в интернете. Форумы просто пополняются новыми вопросами, сайты так же пополняются новыми статьями, комментарий просто не затихают. В этой статье так как он популярен и много вопросов задают мне на почту, спрашивают как защититься и как расшифровать файлы тем кто не стал ставить защиту, расскажу со стороны кода и приведу это все как всегда в более понятливый язык простого пользователя. Начнем :
  2. Как попадает вирус на компьютер ?
  3. На компьютер вирус попадает через почту и с помощью что то типо червя который распространяется через протокол SMB 1,2,3. После заражения и шифрования файлов вирус начинает искать и сканировать другие IP адреса с открытыми портами 135 и 445 если это локальная сеть предприятия то диапазон локальной сети. Если домашний пк то другие диапазоны в интернете.
  4. Как защититься от вируса ?
  5. Все методы защиты и более того я привел в первой статье которую написал на второй день атаки вируса. В статье собраны материалы о защите с обновлениями от компании Microsoft а также самые передовые решения самых первых компаний антивирусов и закрытия портов, отключения протокола SMB. Так же есть высказывания первых личностей в IT индустрии можно прослужат записи в которых рассказывается о вирусе.
  6. Как работает вирус ?
  7. Вирус работает после попадания на компьютер жертвы о котором я рассказал чуть выше следующим образом. Установщик извлекает файлы из запароленного 7zip архива в ту же папку где и установщик. Установщик это файл который скачивает и запускает вирус, сам он скорее всего не является вирусом и антивирусы его не видят. Такой файл именно от WannaCry мне не попался(жаль) но сравнения с другими вирусами подобного типа такие как Vault установщик скорее всего это JS файл с адресами куда обращаться, скачивать, распаковывать и так далее. Сам архив с вирусом содержит следующие файлы :
  8. После извлечения файлов самого вируса скачивается тор браузер который предоставить связь для управления вирусом и серверами управления, что тут именно идет то что не узнать где этот сервер находиться. Для Tor создается отдельная папка, Так как сеть тор состоит из множества серверов и машин которые скрывают последнего изменяя его ip несколько раз. Более подробней можно узнать из статьи которую писал я: TOR а также обратиться к WiKi которая расскажет вам как подтверждение моей статьи. Еще Tor называют луковицей что тоже дает понять что много рубашек. Когда все выше перечисленное связывается и начинает работать вирус с помощью кода в файле tasksche.exe получает доступ к каталогам и файлам на вашем компьютерном устройстве. Начиная сканировать расшаренные папки в сети, флешки перебирая диски по буквам. Файл icacls.exe дает полные права всем юзерам:
  9. icacls . /grant Everyone:F /T /C /Q
  10. Системные файлы вирус не трогает и у него точно прописаны какие файлы шифровать иначе если зашифровать системные файлы то доступ к компьютеру будет потерян в связи с невозможностью запуска системных файлов и дальше самой системы. Если шифруется сервер то вирус пытается завершить процессы:
  11. taskkill.exe /f /im mysqld.exe
  12. taskkill.exe /f /im sqlwriter.exe
  13. taskkill.exe /f /im sqlserver.exe
  14. taskkill.exe /f /im MSExchange*
  15. taskkill.exe /f /im Microsoft.Exchange.*
  16. После как вирус зашифрует файлы указанные у него в коде и которые найдет, вирус попытается затереть теневые копии чтобы не возможно было восстановить удаленные файлы которые были заменены зашифрованными. Делается это с помощью файлов WMIC.exe, vssadmin.exe и cmd.exe ниже картинка на которой есть команды для этих файлов, скажем так:
  17. Если у вас включен UAC то вам будет предложено отключить создание контрольных точек восстановления файлов(теневых копий). Если ответить нет то ваши файлы можно еще спасти.
  18. Собственно ваши файлы принимают следующий вид:
  19. Завершение всего этого концерта создаются два файла один показывает сообщение что ваши файлы зашифрованы и вам надо оплатить в биткойнах взнос для расшифровки файлов. Другой дешифровка.
  20. @Please_Read_Me@.txt сообщение
  21. @WanaDecryptor@.exe де шифрование
  22. Де шифрование так не заработает и вам придется либо восстанавливать файлы с помощью теневых копий или платить. Что во втором варианте так как мошенники я писал используют четыре кошелька биткойн и не смогут произвести анализ тех кто заплатил. В связи с этим мое мнение заканчивается что врятли вам расшифруют файлы. Есть еще такая штука в вирусе расшифровывает несколько файлов бесплатно и напоминает что надо заплатить:
  23. Как защититься от вируса ?
  24. Защититься от вируса можно прочитав предыдущую статью WannaCry 2017 май 12.
  25. Что еще можно узнать о вирусе ?
  26. Вся информация, аудио записи знающих людей, разные примеры защиты все в предыдущей статье.
polosa
RssYandex
Подписка на новости сайта
Ваш e-mail: