WannaCry как работает вирус, что делает после как его запустили на компьютерном устройстве.

Как работает WanaCrypt0r или познакомиться по ближе.

  1. Этот вирус действительно произвел массу, да что массу просто даже нет слов как говорят о нем в интернете. Форумы просто пополняются новыми вопросами, сайты так же пополняются новыми статьями, комментарий просто не затихают. В этой статье так как он популярен и много вопросов задают мне на почту, спрашивают как защититься и как расшифровать файлы тем кто не стал ставить защиту, расскажу со стороны кода и приведу это все как всегда в более понятливый язык простого пользователя. Начнем :
  2. Как попадает вирус на компьютер ?
  3. На компьютер вирус попадает через почту и с помощью что то типо червя который распространяется через протокол SMB 1,2,3. После заражения и шифрования файлов вирус начинает искать и сканировать другие IP адреса с открытыми портами 135 и 445 если это локальная сеть предприятия то диапазон локальной сети. Если домашний пк то другие диапазоны в интернете.
  4. Как защититься от вируса ?
  5. Все методы защиты и более того я привел в первой статье которую написал на второй день атаки вируса. В статье собраны материалы о защите с обновлениями от компании Microsoft а также самые передовые решения самых первых компаний антивирусов и закрытия портов, отключения протокола SMB. Так же есть высказывания первых личностей в IT индустрии можно прослужат записи в которых рассказывается о вирусе.
  6. Как работает вирус ?
  7. Вирус работает после попадания на компьютер жертвы о котором я рассказал чуть выше следующим образом. Установщик извлекает файлы из запароленного 7zip архива в ту же папку где и установщик. Установщик это файл который скачивает и запускает вирус, сам он скорее всего не является вирусом и антивирусы его не видят. Такой файл именно от WannaCry мне не попался(жаль) но сравнения с другими вирусами подобного типа такие как Vault установщик скорее всего это JS файл с адресами куда обращаться, скачивать, распаковывать и так далее. Сам архив с вирусом содержит следующие файлы :
  8. После извлечения файлов самого вируса скачивается тор браузер который предоставить связь для управления вирусом и серверами управления, что тут именно идет то что не узнать где этот сервер находиться. Для Tor создается отдельная папка, Так как сеть тор состоит из множества серверов и машин которые скрывают последнего изменяя его ip несколько раз. Более подробней можно узнать из статьи которую писал я: TOR а также обратиться к WiKi которая расскажет вам как подтверждение моей статьи. Еще Tor называют луковицей что тоже дает понять что много рубашек. Когда все выше перечисленное связывается и начинает работать вирус с помощью кода в файле tasksche.exe получает доступ к каталогам и файлам на вашем компьютерном устройстве. Начиная сканировать расшаренные папки в сети, флешки перебирая диски по буквам. Файл icacls.exe дает полные права всем юзерам:
  9. icacls . /grant Everyone:F /T /C /Q
  10. Системные файлы вирус не трогает и у него точно прописаны какие файлы шифровать иначе если зашифровать системные файлы то доступ к компьютеру будет потерян в связи с невозможностью запуска системных файлов и дальше самой системы. Если шифруется сервер то вирус пытается завершить процессы:
  11. taskkill.exe /f /im mysqld.exe
  12. taskkill.exe /f /im sqlwriter.exe
  13. taskkill.exe /f /im sqlserver.exe
  14. taskkill.exe /f /im MSExchange*
  15. taskkill.exe /f /im Microsoft.Exchange.*
  16. После как вирус зашифрует файлы указанные у него в коде и которые найдет, вирус попытается затереть теневые копии чтобы не возможно было восстановить удаленные файлы которые были заменены зашифрованными. Делается это с помощью файлов WMIC.exe, vssadmin.exe и cmd.exe ниже картинка на которой есть команды для этих файлов, скажем так:
  17. Если у вас включен UAC то вам будет предложено отключить создание контрольных точек восстановления файлов(теневых копий). Если ответить нет то ваши файлы можно еще спасти.
  18. Собственно ваши файлы принимают следующий вид:
  19. Завершение всего этого концерта создаются два файла один показывает сообщение что ваши файлы зашифрованы и вам надо оплатить в биткойнах взнос для расшифровки файлов. Другой дешифровка.
  20. @Please_Read_Me@.txt сообщение
  21. @WanaDecryptor@.exe де шифрование
  22. Де шифрование так не заработает и вам придется либо восстанавливать файлы с помощью теневых копий или платить. Что во втором варианте так как мошенники я писал используют четыре кошелька биткойн и не смогут произвести анализ тех кто заплатил. В связи с этим мое мнение заканчивается что врятли вам расшифруют файлы. Есть еще такая штука в вирусе расшифровывает несколько файлов бесплатно и напоминает что надо заплатить:
  23. Как защититься от вируса ?
  24. Защититься от вируса можно прочитав предыдущую статью WannaCry 2017 май 12.
  25. Что еще можно узнать о вирусе ?
  26. Вся информация, аудио записи знающих людей, разные примеры защиты все в предыдущей статье.