17 maja 2017

W piątek 12 maja liczne komputery na całym świecie zostały zainfekowane przez niebezpiecznego robaka znanego jako WannaCry. Specjaliści Doctor Web wciąż zajmują się badaniem tego malware, ale są już gotowi do udostępnienia niektórych wyników swoich badań.

Malware, znane jako WannaCry, jest robakiem sieciowym infekującym bez żadnego udziału użytkownika komputery działające pod kontrolą Microsoft Windows. Antywirus Dr.Web wykrywa wszystkie komponenty robaka jako Trojan.Encoder.11432. Wirus rozpoczął swoje rozpowszechnianie się 12 maja 2017 około 10.00. Robak atakuje wszystkie komputery w sieciach lokalnych i zdalne serwery internetowe o losowych adresach IP, próbując zestawić połączenie po porcie 445. Po zainfekowaniu komputera, robak próbuje samodzielnie zainfekować inne osiągalne maszyny — wyjaśnia to ogromną skalę tej epidemii. Złośliwy program posiada kilka komponentów; trojan szyfrujący pliki jest jednym z nich.

Robak sieciowy

Uruchomiony, robak próbuje wysłać żądanie do zdalnego serwera, którego domena jest zapisana w kodzie trojana. Jeśli otrzyma odpowiedź na to żądanie, robak kończy swoje działanie. Niektóre źródła w mediach podawały, że “wybuch” aktywności wirusa WannaCry został zatrzymany z chwilą zarejestrowania tej domeny: do momentu w którym trojan rozpoczął swoje rozpowszechnianie się, ta domena była dostępna z przyczyny błędu popełnionego przez cyberprzestępców. W rzeczywistości analiza trojana pokazała, że będzie on działał i infekował komputery podłączone do sieci lokalnej, ale nie mające połączenia z Internetem. Tym samym jest za wcześnie aby mówić o tym, że epidemia już się zakończyła.

Po uruchomieniu trojan rejestruje się jako usługa systemowa nazwana mssecsvc2.0. Dodatkowo robak jest wrażliwy na parametry linii poleceń: jeśli jakikolwiek argument zostanie podany, robak próbuje włączyć automatyczne ponowne uruchamianie się usługi w przypadku wystąpienia błędu. W ciągu 24 godzin po swoim uruchomieniu się jako usługa systemowa, robak automatycznie kończy swoje działanie.

Po pomyślnym uruchomieniu się na zainfekowanej maszynie, robak uruchamia wyszukiwanie serwerów do których może podłączyć się w ramach sieci lokalnej do której należy zainfekowana maszyna i komputerów w Internecie o losowych adresach IP. Próbuje łączyć się po porcie 445. Jeśli połączenie zostanie pomyślnie zestawione, robak próbuje zainfekować te komputery z użyciem podatności w protokole SMB.

Dropper

Dropper jest komponentem zaprojektowanym do instalowania w systemie operacyjnym złośliwego pliku wykonywalnego. Dropper wirusa WannaCry zawiera duże, chronione hasłem archiwum ZIP, zawierające zaszyfrowany plik z trojanem szyfrującym, tapetę Pulpitu Windows zawierającą żądania cyberprzestępców i plik zawierający adresy serwerów w sieci Tor, oraz nazwę portfela dla transakcji Bitcoin, a także archiwum zawierające programy do operowania w sieci Tor. Dropper jest uruchamiany bezpośrednio ze struktury robaka, instaluje się w systemie, a następnie próbuje uruchomić swoją kopię jako usługę systemową o losowej nazwie. Jeśli ta próba nie powiedzie się, to uruchomi się jako zwykły program. Głównym zadaniem droppera jest zapisanie zawartości archiwum na dysku i uruchomienie programu szyfrującego.

Trojan ransomware

Trojan.Encoder.11432 szyfruje pliki z użyciem losowego klucza. Plik klucza zawiera dane na temat długości klucza szyfrującego, sam klucz szyfrujący, informacje o rodzaju szyfrowania i o rozmiarze pliku źródłowego. Podczas procesu szyfrowania tworzony jest plik o nazwie f.wnry — zawiera on listę plików dla trojana możliwych do odszyfrowania w trybie testowym.

Trojan zawiera autorski program deszyfrujący, usuwający na zainfekowanym komputerze kopie zapasowe i wyłączający funkcję przywracania systemu. Zmienia on też tapetę Pulpitu Windows na plik graficzny o następującej treści:

Następnie rozpakowuje on aplikacje, których używa do działania w sieci Tor (lub pobiera je z Sieci www), a następnie łączy się z serwerami Tor, których adresy zostały wykazane w konfiguracji trojana. Z tego źródła otrzymuje on nazwę portfela akceptującego elektroniczną walutę Bitcoin i zapisuje ją w konfiguracji. Do wymiany danych z serwerami Tor Trojan.Encoder.11432 używa swojego własnego protokołu.

Program deszyfrujący pozwala na odszyfrowanie kilku plików testowych, lista których jest zapisana w pliku f.wnry. Klucz prywatny wymagany do ich odszyfrowania jest zapisany w jednym ze złośliwych komponentów programu. Możliwe więc jest ich odszyfrowanie nawet bez wykorzystywania trojana, jednakże pliki testowe i wszystkie pozostałe pliki są zaszyfrowane z użyciem różnych kluczy. Tym samym nie ma żadnej gwarancji, że dane pozmieniane przez program szyfrujący będą mogły być z powodzeniem przywrócone, nawet po zapłaceniu okupu.

Niestety na chwilę obecną odszyfrowanie plików zaszyfrowanych przez Trojan.Encoder.11432 jest niemożliwe.

Oznaki infekcji

Cechy charakterystyczne zainfekowania wirusem WannaCry to:

• Obecność usługi systemowej mssecsvc2.0 (wyświetlana nazwa — ”Microsoft Security Center (2.0) Service”);
• Obecność pliku trojana szyfrującego C:\WINDOWS\tasksche.exe; poprzednia próbka złośliwego programu jest zapisana w pliku C:\WINDOWS\qeriuwjhrf.

Co zrobić w przypadku infekcji:

• Aby zapobiec dalszemu rozpowszechnianiu się infekcji, należy izolować od sieci komputerowych zainfekowane maszyny i zdrowe komputery zawierające wartościowe dane;
• Należy zapisać kopie zapasowe informacji na oddzielnych nośnikach i zasobach które po dokonaniu tej operacji muszą pozostać odłączone od jakichkolwiek komputerów.

Ten link przeniesie Cię do wstępnego opisu robaka.