обработка данных

Нажмите сюда, если долго загружается,
либо "ESC" - отмена
 
Заказ обратного звонка
Заказать звонок
Наш специалист свяжется с Вами и ответит на все вопросы
Обработка данных
Наш специалист свяжется с Вами и ответит на все вопросы.
OK

WannaCry vs. Adylkuzz: кто кого опередил?

Источник: https://habrahabr.ru
Время чтения: ~3 мин
WannaCry vs. Adylkuzz: кто кого опередил?
Статьи
611
Изображение носит иллюстрационный характер. Источник: habrahabr.ru
Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.

Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.

Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.

Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.
Как удалось поймать Adylkuzz
В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.

Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом.
Как распространяется Adylkuzz
Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Несмотря на то, что вирус не требует вознаграждение за расшифровку файлов, а тихо майнит «денежку», назвать его разработчиков благородными всё же сложно — компьютер продолжает находиться в составе ботнета. Как он поведёт себя в будущем, не известно.Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.

Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?
Поделиться
Поделиться
Поделиться
Поделиться
Поделиться
Поделиться
Поделиться
Подписка на новости. Получайте важное первым
ПОДПИСАТЬСЯ