Жизнь вокруг ИБ: WannaCry vs MS17-010 (+ tools)

12 мая 2017 года были заблокированы десятки тысяч компьютеров по всему миру и это было только начало … :-(

Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную $300. Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают "бесплатные мероприятия" для бедных пользователей. Связаться со злоумышленниками можно прямо через программу. Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно 12 тыс. долларов. Учитывая, что пользователи обычно откладывают выкуп на последний день, "прибыль" может вырасти многократно.

Пострадавших на 22.05.2017 - 302 397 ( по состоянию на 13 мая - более 100 000). В России жертвами вируса уже стали "Сбербанк", "Мегафон" и министерство внутренних дел (ранее ведомство отрицало заражения). В Британии жертвами стали государственные больницы, в Испании - телекоммуникационная компания Telefonica, а также американская компания доставки FedEx.

Карта заражения WannaCry - https://intel.malwaretech.com/botnet/wcrypt

Суммы, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории. С другой стороны это трудно назвать централизованной атакой, скорее случайная оплошность большинства пользователей, которая «вскрыла» отдельные страны и демонстративно показала халатность пользователей Windows, которые использовали старые операционные системы, не обновлённые, и, скорее всего, даже не лицензионные. Именно поэтому большинство случаев заражения выявлено на постсоветском пространстве.

Для атаки хакеры использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США. Она была украдена хакерами The Shadow Brokers у другой группировки Equation Group в августе 2016 года и опубликована в апреле 2017-го. Вообще была опубликована не одна, а пачка эксплоитов:
87284 - Microsoft Internet Information Services 6.0 Buffer Overflow Vulnerability - Shadow Brokers (EXPLODINGCAN) Zero Day. ISSUE: this only detects for IIS, not if the vulnerable service is running. will results in false positives.
91345 - Microsoft SMB Server Remote Code Execution Vulnerability (MS17-010) and Shadow Brokers. COMMENT: this one actually tells you what the detection mechanism is and what to resolve. KB4012212 or KB4012215 is not installed
91357 - Microsoft Windows SMBv1 Remote Code Execution - Shadow Brokers (ETERNALCHAMPION) - Zero Day MS17-010. ISSUE: the results section only contains "Microsoft Windows SMBv1 Remote Code Execution - Shadow Brokers (ETERNALCHAMPION, ETERNALSYSTEM) - Zero Day".
91359 - Microsoft Windows Remote Privilege Escalation - Shadow Brokers (ETERNALROMANCE) - Zero Day MS17-010. ISSUE: the results only contains "Microsoft Windows Remote Privilege Escalation - Shadow Brokers (ETERNALROMANCE) - Zero Day".
91360 - Microsoft Windows SMBv1 and NBT Remote Code Execution - Shadow Brokers (ETERNALBLUE) - Zero Day. ISSUE: the results only contains "Microsoft Windows SMBv1 and NBT Remote Code Execution - Shadow Brokers (ETERNALBLUE) - Zero Day".
91361 - Microsoft Windows SMBv3 Remote Code Execution - Shadow Brokers (ETERNALSYNERGY) - Zero Day.
Т.е. в данном случае идёт речь об использовании только одного из инструментов. И, ожидаемо, что могут/будут инциденты связанные и с другими эксплоитами. Не обязательно также широко, не обязательно Ransomware...
Известны варианты, в том числе с ограничением по географическому признаку. По информации экспертов компании Trustlook, на 16 мая 2017 уже существует 386 разновидностей только WannaCry.

В случае с WannaCry распространение может происходить весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, установится на компьютеры без какого либо участия человека. Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, потом блокирует компьютеры и требует выкуп. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. Рекомендуется убедиться, что на компьютерах, работающих на Windows установлены последние обновления. Также на них должны быть закрыты порты 139 и 445 (порты используются протоколом SMB) для внешнего доступа.

Злоумышленники эксплуатируют уязвимость Microsoft Server Message Block 1.0 (SMBv1) server – отправка специально сконструированных сообщений. WannaCry использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Всем, у кого система обновилась, вирус не угрожает.

Security update deployment (MS17-010: Security update for Windows SMB Server: March 14, 2017)

Windows Vista (all editions): Windows6.0-KB4012598-x86.msu, Windows6.0-KB4012598-x64.msu
Windows Server 2008 (all editions): Windows6.0-KB4012598-x86.msu, Windows6.0-KB4012598-x64.msu , Windows6.0-KB4012598-ia64.msu
Windows 7 (all editions): Windows6.1-KB4012212-x64.msu , Windows6.1-KB4012215-x64.msu
Windows Server 2008 R2 (all editions): Windows6.1-KB4012212-x64.msu . Windows6.1-KB4012215-x64.msu
Windows 8.1 (all editions): Windows8.1-KB4012213-x64.msu , Windows8.1-KB4012216-x64.msu
Windows RT 8.1 (all editions) - The 4012216 monthly rollup update is available
Windows Server 2012 and Windows Server 2012 R2 (all editions) : Windows8-RT-KB4012214-x64.msu, Windows8-RT-KB4012217-x64.msu , Windows8.1-KB4012213-x64.msu, Windows8.1-KB4012216-x64.msu

Windows 10 (all editions): Windows10.0-KB4012606-x64.msu, Windows10.0-KB4013198-x64.msu, Windows10.0-KB4013429-x64.msu
Windows Server 2016 (all editions): Windows10.0-KB4013429-x64.msu

Также оперативно выпущены (или, как говорят, опубликованы) патчи для уже неподдерживаемых ОС (ссылки см. ниже):
Обновление для системы безопасности Windows XP SP3 (KB4012598) — особая поддержка

Обновление системы безопасности для Windows XP SP3 для XPe (KB4012598) — особая поддержка

Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
Обновление для системы безопасности для WES09 и POSReady 2009 (KB4012598)
Обновление для системы безопасности Windows Server 2003 для систем на базе 64-разрядных (x64) процессоров (KB4012598) - особая поддержка
Обновление для системы безопасности Windows Server 2003 (KB4012598) — особая поддержка

Vulnerability Information:

Как оказалось основными жертвами стали не Win XP/2003, а Windosw 7 (более 98%)...

Известные на 12/05/2017 (from Cisco Talos) IoCs:

File names (SHA256):

b.wnry d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa

c.wnry 055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622

r.wnry 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c

s.wnry e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b

taskdl.exe 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

taskse.exe 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d

t.wnry 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6

u.wnry b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

C&C IPs

188[.]166[.]23[.]127:443

193[.]23[.]244[.]244:443

2[.]3[.]69[.]209:9001

146[.]0[.]32[.]144:9001

50[.]7[.]161[.]218:9001

217.79.179[.]77

128.31.0[.]39

213.61.66[.]116

212.47.232[.]237

81.30.158[.]223

79.172.193[.]32

89.45.235[.]21

38.229.72[.]16

188.138.33[.]220

List of file names encrypted by the ransomware:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc,

Подготовленные IoCs Blueliv на 12/05/2017

Indicators
Hash-MD5	5a89aac6c8259abbba2fa2ad3fcefc6e
Hash-MD5	05da32043b1e3a147de634c550f1954d
Hash-MD5	8e97637474ab77441ae5add3f3325753
Hash-MD5	c9ede1054fef33720f9fa97f5e8abe49
Hash-SHA1	6fbb0aabe992b3bda8a9b1ecd68ea13b668f232e
Hash-SHA256	0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
Hash-SHA256	21ed253b796f63b9e95b4e426a82303dfac5bf8062bfe669995bde2208b360fd
Hash-SHA256	228780c8cff9044b2e48f0e92163bd78cc6df37839fe70a54ed631d3b6d826d5
Hash-SHA256	2372862afaa8e8720bc46f93cb27a9b12646a7cbc952cc732b8f5df7aebb2450
Hash-SHA256	2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
Hash-SHA256	3ecc7b1ee872b45b534c9132c72d3523d2a1576ffd5763fd3c23afa79cf1f5f9
Hash-SHA256	43d1ef55c9d33472a5532de5bbe814fefa5205297653201c30fdc91b8f21a0ed
Hash-SHA256	49fa2e0131340da29c564d25779c0cafb550da549fae65880a6b22d45ea2067f
Hash-SHA256	4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
Hash-SHA256	616e60f031b6e7c4f99c216d120e8b38763b3fafd9ac4387ed0533b15df23420
Hash-SHA256	66334f10cb494b2d58219fa6d1c683f2dbcfc1fb0af9d1e75d49a67e5d057fc5
Hash-SHA256	8b52f88f50a6a254280a0023cf4dc289bd82c441e648613c0c2bb9a618223604
Hash-SHA256	8c3a91694ae0fc87074db6b3e684c586e801f4faed459587dcc6274e006422a4
Hash-SHA256	aae9536875784fe6e55357900519f97fee0a56d6780860779a36f06765243d56
Hash-SHA256	b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
Hash-SHA256	ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Hash-SHA256	f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494
IPv4	197.231.221.211
IPv4	128.31.0.39
IPv4	149.202.160.69
IPv4	46.101.166.19
IPv4	91.121.65.179
URL	http://www.btcfrog.com/qr/bitcoinpng.php?address
URL	http://www.rentasyventas.com/incluir/rk/imagenes.html
URL	http://www.rentasyventas.com/incluir/rk/imagenes.html?retencion=081525418
URL	http://gx7ekbenv2riucmf.onion
URL	http://57g7spgrzlojinas.onion
URL	http://xxlvbrloxvriy2c5.onion
URL	http://76jdd2ir2embyv47.onion
URL	http://cwwnhwhlz52maqm7.onion
URL	http://197.231.221.211:9001
URL	http://128.31.0.39:9191
URL	http://149.202.160.69:9001
URL	http://46.101.166.19:9090
URL	http://91.121.65.179:9001

Что делать?
- Прямо сейчас пропатчиться.

Win 7, Win Serv 2008: KB4012212 , KB4012215 , KB4015549, KB4019264

Win 10, Win Serv 2016: KB4013429 , KB4013198 , KB4012606
В том числе для уже не поддерживаемых OS от Microsoft.
Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

- Отключить ненужные (устаревшие) протоколы SMB (статья от MS)

- Если уже «словили» - в первую очередь никому ничего не платить. Жертвам следует понимать, что не существует обязательства преступников действительно предоставить ключи для расшифровки после оплаты выкупа.
Если есть резервная копия данных — будет чуть легче. Если копии нет, шанс потерять файлы есть. В сети люди рекомендуют просто выключить компьютер и не давать ему работать, хотя на время для выкупа данных авторы этого творения дают пару дней.

Необходимо отметить, что угроза все еще активно исследуется, так что ситуация может меняться в зависимости от реакции злоумышленников на действия специалистов по компьютерной безопасности. (Upd: Вот, например, 19.05.2017 появился декриптор - См. ниже)

После этого случая люди задумаются о важности своевременного обновления? А ты уверен, что твой Windows имеют последние патчи?

Как минимизировать риски связанные с программами-вымогателями (Ransomware)?

Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции», так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
Включите опцию «Показывать расширения файлов» в настройках Windows на своем компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как '.exe', '.vbs' и '.SCR'. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение. Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.