«Нечаянный герой» остановил атаку криптера-вымогателя и предупредил: это не конец. / вирус :: Wana Decrypt0r 2.0

Wana Decrypt0r 2.0 песочница вирус 

«Нечаянный герой» остановил атаку криптера-вымогателя и предупредил: это не конец.


Wana Decrypt0r 2.0,песочница,вирус



«Нечаянный герой» остановивший глобальное распространение атаки беспрецедентного криптера-вымогателя с помощью регистрации запутанного доменного имени спрятанного в вредоносной программе предупредил: атака может быть запущена снова.


Криптер-вымогатель использованный в пятничной атаке посеял хаос в организациях включающий в себя FedEX и Telefónica, а также Национальной службе здравоохранения Великобритании, в которой были отменены операции, ренген, результаты тестов и записи пациентов стали недоступными и телефоны не работали.


Но распространение атаки подошло к неожиданному концу, когда один британский исследователь кибер-безопасности представленный в твиттере как @malwaretechblog, с помощью Дэриена Хасса из охранной фирмы Proofpoint, нашел и случайно активировал триггер отключения в вредоносном ПО.


Исследователь, представившийся только как MalwareTech — двадцатидвухлетний из юго-западной Англии, проживающий с родителями и работающий на Kryptos logic, находящейся в Лос Анджелесе компании по разведке кибер-угроз.


«Я отошел пообедать с другом, вернулся около трех часов дня и заметил наплыв новостей о Национальной службе здравоохранения Великобритании и различных пострадавших британских организациях» сказал он The Guardian «Я начал разбираться в этом и тогда я нашел пример вредоносного ПО стоящего за этим и увидел что оно соединяется с определенным доменом, который был не зарегистрирован. Я занял его, не зная что я сделал.»


Киллсвитч глубоко закодирован в вредоносное ПО на случай, если создатель захочет остановить его распространение.  Это включало в себя очень длинное бессмысленное доменное имя к которому вредоносное ПО делало реквест, так, словно искало обычный веб-сайт, и если реквест возвращался и показывал что домен в онлайне, то киллсвитч включался бы и вредоносное ПО прекращало распространение. Домен стоил $10.69 и моментально начал регистрировать тысячи соединение каждую секунду. 


MalwareTech объяснил покупки домена тем, что его копания следит за ботнетами и с помощью регистрации этих доменов они могут узнать как распространяется ботнет. «Намерение было просто проследить распространение и увидеть сможем ли мы сделать что-нибудь об этом позже. Но мы случайно остановили распространение просто зарегистрировав домен», сказал он. Но последующие часы были «американскими горками эмоций».


«Сначала, кто-то сообщил все наоборот, что мы вызвали заражение регистрацией домена, так что у меня случился мини испуг, пока я не осознал что все было наоборот и мы остановили его», говорит он.


MalwareTech сказал что он предпочитает оставаться анонимным «потому что в этом нет смысла давать мою персональную информацию, очевидно мы работаем против плохих парней и они не будут рады из-за нас».


Он так же сказал что он планирует удержать URL и он с коллегами будет собирать IP и отправлять их в правоохранительные органы, чтобы они могли предупредить зараженных жертв, не все они знают что пострадали.


Он предупредил людей пропатчить их систему, добавив: «Это еще не конец. Атаковавшие поймут как мы остановили это, они поменяют код и затем начнут снова. Включите обновление Windows, обновите и затем перезагрузите компьютер.»


Райан Калембер из Proofpoint сказал что британский исследователь получает «награду нечаянного героя дня». «Они даже не представляли как сильно это должно было замедлить распространение вредоносного ПО.»


Ко времени когда @malwaretechblog зарегистрировал домен было слишком поздно чтобы помочь Европе и Азии, где много организаций пострадали. Но это дало людям в США больше времени чтобы создать иммунитет к атаке пропатчив их системы прежде чем они были инфицированы, сказал Калембер.


Киллсвитч не поможет тем, чьи компьютеры уже заражены криптером и, вероятно, есть другие варианты вредоносного ПО с иными киллсвитчами продолжает распространяться. 


Исследователи кибер-безопасности с Лабораторией Касперского зафиксировали более 45,000 атак в 74 странах, включающих Великобританию, Россию, Украину, Индию, Китай, Италию и Египет. В Испании крупные компании, включая телекоммуникационную фирму Telefónica, были заражены.


На вечер пятницы, криптер-попрошайка распространился в Соединенные Штаты и Южную Америку, тем не менее Европа и Россия остаются сильнейшими пострадавшими, по словам исследователей Malware Hunter Team. Министерство внутренних дел России говорит о примерно 1,000 пострадавших компьютерах.



Перевел сам, выкинул пару бесполезных параграфов. Источник:

https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack


P.S. Сам домен киллсвитч — https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com


Подробнее

Wana Decrypt0r 2.0,песочница,вирус
Еще на тему
Развернуть
Поправить не могу, так что прощу прощения оставшиеся ошибки — печатал в блокнот без спеллчекера, вслепую и смотря на оригинал.
"ренген" - поржал
1000 пострадавших компьютеров в России??? Я думал там хотя бы миллион
Valik Valik 14.05.201700:08 ответить ссылка -0.1
Речь о тысяче компьютеров в МВД.
"Национальной службе здравоохранения Великобритании" - сука, полюбому какая нить бухгалтерша открыла файл в электронном письме с темой «Срочное предписание налоговой службы, подробности в письме»
Заражение происходит через уязвимость в протоколе SMB и для инфицирования ничего не нужно запускать/вставлять в компьютер. Для заражения достаточно иметь открытый 445 порт, не иметь обновления безопасности от марта 2017 года и чтобы тебя инфицировал компьютер злоумышленника автоматически сканирующий диапазоны IP адресов на предмет компьютеров с вышеперечисленной уязвимостью. Ну или заразил бы инфицированный компьютер из твоей локальной сети через эту же уязвимость.
На работу такой же файл пришёл "Срочный акт сверки подписанный директором, налоговой и господом богом, срочно проверьте и отпрвьте.doc.xsls.rar.exe". Бухгалтерша его с 7:30 скачивала и открывала, А ФАЙЛ ПРОПАДАЛ. Скачивала снова с почты - всё равно пропадал. Пошла на другой комп скачать - все-равно пропадал. Сидела, ждала пока я приду (и объясню, что Каспеский автоматом такое удаляет).
Но трекер заражения все еще показывает павших в этом бою.
prophets prophets 14.05.201702:07 ответить ссылка 1.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
Венда рулит. Линух сосет.
Ps.
Скачал вирусов себе на линух.
Распаковал.
Поставил под root.
Не завелись. Два часа гуглил, оказалось, вместо /usr/local/Ып вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайт
подробнее»

вирус Linux Wana decrypt0r

Венда рулит. Линух сосет. Ps. Скачал вирусов себе на линух. Распаковал. Поставил под root. Не завелись. Два часа гуглил, оказалось, вместо /usr/local/Ып вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайт
Payment will be raised on 5/15/201/ 16:50:06
Time Loft
•—I n	u .-I u
Ooops, your files have been encrypted!
Wliat Happened to My Computer?
|Your important 62cs arc encrypted
Many of your document;, photo;, video;. databa;e; and other file; are no longer acce;;ib!c [because they have been encr
подробнее»

попрошайничество цыгане вирус Wana Decrypt0r 2.0

Payment will be raised on 5/15/201/ 16:50:06 Time Loft •—I n u .-I u Ooops, your files have been encrypted! Wliat Happened to My Computer? |Your important 62cs arc encrypted Many of your document;, photo;, video;. databa;e; and other file; are no longer acce;;ib!c [because they have been encr

РУССКАЯ СЛУЖБА
Главная Новости Россия Революция-100 Видео Журнал Блоги Британия Экономика Еще -
"Случайный герой" рассказал, как он остановил вирус \Л/аппаСгу
Крис Фокс,
обозреватель Би-би-си
О 11 минут назад	f * О Е < Поделиться
подробнее»

Wana decrypt0r случайный герой вирус удалённое

 РУССКАЯ СЛУЖБА Главная Новости Россия Революция-100 Видео Журнал Блоги Британия Экономика Еще - "Случайный герой" рассказал, как он остановил вирус \Л/аппаСгу Крис Фокс, обозреватель Би-би-си О 11 минут назад f * О Е < Поделиться