17 мая 2017 года
Вредоносная программа, популярная под наименованием WannaCry, воображает собой сетевого червя, могущего заражать компы под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует баста составляющие глиста под именованием
Сетевой червь
Сразу в последствии пуска глист старается отослать запрос на удаленный сервер, домен коего хранится в троянце. коли отголосок на данный запрос получен, глист завершает свою работу. кое-какие СМИ сообщали, будто эпидемию WannaCry получилось остановить, зарегистрировав данный домен: к моменту основания распространения троянца он был волен якобы в следствии оплошки злоумышленников. На самом деле разбор троянца показывает, будто он полно изготовлять так будто распространяться на компьютерах, имеющих доступ к локальной сети, впрочем перестать имеющих включения к Интернету. отчего об остановке эпидемии растабарывать покамест преждевременно.
После пуска троянец индексирует себя в качестве системной службы с именованием mssecsvc2.0. При данном глист чувствителен к характеристикам командной строки: коли указан какой-нибудь аргумент, он старается настроить машинальный перезапуск службы в случае появления ошибки. сквозь 24 часа в последствии собственного пуска в качестве системной службы глист механично завершает работу.
Успешно стартовав на инфицированной машине, глист начинает опрашивать узлы, доступные в локальной паутины зараженной машины, а уж уж уж уж тоже компы в вебе со случайными IP-адресами. Он старается объединиться с портом 445. коли ему же получилось учредить соединение, глист решает попытку заразить эти компы с пользованием уязвимости в протоколе SMB.
Дроппер
Дроппер — это компонент, предназначенный для инсталляции в операционную систему вредного исполняемого файла. Дроппер глиста WannaCry содержит огромный защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов так будто именованием кошелька для приема биткойнов, а уж уж уж уж тоже картотека с программами для работы в паутины Tor. Дроппер запускается из тела червя, монтируется в систему, в последствии чего старается забросить свою копию в пейзаже системной службы со случайным именем. коли это перестать удается, он выполняется, как-либо обыкновенная программа. основополагающая миссия дроппера — оставить на диск содержимое архива, а уж уж уж уж тоже дешифрировать так будто забросить шифровальщик.
Троянец-шифровальщик
Энкодер
Троянец содержит в для себя авторский декодер, какой удаляет на зараженном персональном персональном компьютере теневые клоны так будто отключает функцию восстановления системы. Он обменивает обои Рабочего стола Windows на графический файл надлежащего содержания:
Затем он распаковывает приложения для работы с паутиной Tor (или скачивает них из сети) так будто соединяется с onion-серверами, адреса коих указаны в изменения троянца. Оттуда он приобретает имя кошелька для приема криптовалюты Bitcoin так будто записывает его в конфигурацию. Для обмена заданными с onion-серверами
Декодер разрешает дешифрировать маленько тестовых файлов, копия коих хранится в файле f.wnry. частный ключ, нужный для них расшифровки, хранится в одном из составляющую вредной программы. отчего них можно дешифрировать в том числе без употребления самого троянца. впрочем расшифровка тестовых так будто каких бы то ни было других файлов производится с пользованием всевозможных ключей. Следовательно, никаких гарантий удачного восстановления покоробленных шифровальщиком заданных в том числе в случае оплаты выкупа перестать существует.
К сожалению, в реальное минута расшифровка покоробленных
Признаки заражения
Признаками инфецирования глистом WannaCry являются:
- наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
- наличие файла троянца-энкодера C:WINDOWS asksche.exe, прошлый экземпляр вредной программы хранится в файле C:WINDOWSqeriuwjhrf.
Что изготовлять в случае заражения
- во избежание распространения инфекции отделить зараженные автомобиля так будто ПК с ценными заданными от компьютерных сетей;
- сохранить резервную копию инфы на еденичные носители, коие в последствии этого обязаны храниться отключенными от каких бы то ни было компьютеров.
С подготовительным техническим описанием глиста можно ознакомиться по
25 марта 2024 годы
Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web
22 марта 2024 года
Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.
С мо... Антивирус Dr.Web
6 марта 2024 года