О вирусе WNCRY (продолжение)

Несмотря на сообщения об остановке вируса-вымогателя, эксперты сразу выступили с предупреждениями, что расслабляться рано. По их мнению, в ближайшее время можно ожидать появления новой версии вируса-вымогателя.
По утверждению ряда экспертов, пятничная атака вируса-вымогателя «WannaCry» (WannaCrypt) поразила более 200 000 компьютеров в 150 странах. Благодаря этому, данная атака стала «беспрецедентной по своему размеру». Но о полном масштабе заражений говорить пока рано, так как ряд исследователей, экспертов и энтузиастов информационной безопасности начали говорить о второй волне атаки. Напомним, что первую атаку удалось остановить путем регистрации доменного имени, которое было указано как «выключатель» в исходном коде вируса.

Вирус «WannaCry» (WannaCrypt) сочетает функциональность криптографического вымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows.
Очень важно знать, в том числе рядовым пользователям, как вирус работает. Несуществующее изначально доменное имя в коде позволяло вирусу-вымогателю определять «сел» ли он на физический хост, или же функционирует внутри виртуальной машины, например в «песочнице». В последнем случае, он просто не исполнялся, и увидеть его функционал было невозможно. К такому же выводу пришел и британский специалист по безопасности, автор блога «MalwareTech Blog», который оперативно зарегистрировал доменное имя «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com», к которому обращалась каждая версия вируса-вымогателя перед выполнением вредоносного кода. Позже выяснилось, что это доменное имя программа использовала в качестве «аварийного стоп-крана», вероятно все же для того, чтобы защититься от анализа специалистами своей функциональности в виртуальной среде (песочнице).

Несмотря на сообщения об остановке вируса-вымогателя, эксперты сразу выступили с предупреждениями, что расслабляться рано.
По их мнению, в ближайшее время можно ожидать появления новой версии вируса-вымогателя без подобного ограничителя. Так, несколько часов назад некий сотрудник «Microsoft» сообщил в Twitter об обнаружении нового варианта WannaCry (WannaCrypt) с видоизменённым «стоп-краном», который проверял уже другой домен «ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com» перед выполнением. С этой информацией можно ознакомиться на странице Twitter: https://twitter.com/msuiche
Моментально была подана заявка на регистрацию и запуск и этого домена, чтобы остановить вторую волну атаки.

Общий механизм работы вируса-вымогателя и механизм обнаружения песочницы остался прежним. Как и раньше, в случае успешного запроса к доменному имени выполнение программы прекращается. Но теперь есть основания предполагать, что существует несколько вариантов зловреда с разными доменными именами, прошитыми в коде.

К настоящему времени стало известно и о третьем варианте вируса-вымогателя WannaCry. Его обнаружила «Лаборатория Касперского» - и там выключатель отсутствует. К сведению, этот вариант не может извлечь свои исполняемые файлы из-за поврежденного архива.

Одно можно утверждать несомненно – увеличение масштабов массового заражения вируса-вымогателями еще только предстоит.
Следует быть готовыми к появлению новых вариантов WannaCry (WannaCrypt), которые, наверняка будут модернизированы и станут более изощренными. А временную передышку необходимо использовать для принятия мер по защите своих данных от вирусной атаки.

Напоминаем, что «Microsoft» оперативно выпустила патчи для исправления уязвимости «Microsoft Security Bulletin MS17-010», в том числе и для тех версий операционных систем, которые она официально прекратила поддерживать:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1:
https://www.saotn.org/disable-smbv1-windows-10-windows-server/