Внимание! Возможно, что вы стали уязвимой группой вымогателей «WannaRen»!

20 Апр. 2020 г.kate
Подробнее о 360 Total Security

Новый вирус-вымогатель биткойнов под названием «WannaRen» распространяется в больших масштабах. Когда пользователи, к сожалению, инфицированы вымогателями «WannaRen», их важные файлы будут зашифрованы, а хакеры потребуют выкуп в 0,05 БТД.

Обнаружив аномалии, Центр Безопасности 360 впервые обнаружил источник вируса-вымогателя «WannaRen» и связал его с закулисной группой хакеров, и впервые проанализировал настоящий код атаки на вымогателей. Центр безопасности 360 подтвердил, что автором вымогателей «WannaRen» была организация «скрытая тень», которая ранее использовала уязвимость «вечного синего».

Организация «Скрытая тень» изменила способ получения прибыли, добывая троянских коней, и доставляя вымогателей «WannaRen» через всю сеть,  чтобы проить выкуп и получить прибыль. 360 Total Security обнаружили и поддержали перехват и убийство нового вымогателя «WannaRen» во времени.

Какая организация «Скрытая тень»?

«Криптовалютный экскаватор» превратился в «Поставщика вымогателей»

Основываясь на данных, отслеживанных Центр Безопасности  360, организация «Скрытая тень» имеет давнюю историю незаконного владения криптовалютами. Еще в предыдущих атаках организация «Скрытая тень» атаковало целевой компьютер с помощью уязвимости «вечного синего», внедрило в него троян-майнер и добывало зашифрованные номера, такие как монеты PASC и монеро, незаконно контролируемыми компьютерами.

С точки зрения характеристик атаки, хакерская группа «Скрытая тень» в основном использует BT-загрузчики, инструменты активации и т. Д. для распространения, а также использует уязвимость «Eternal Blue» для бокового распространения в локальной сети. После того, как хакерская группа «Скрытая тень» успешно проникла на целевой компьютер, она обычно запускает загрузчик PowerShell и использует загрузчик для загрузки модуля бэкдора и трояна майнинга для следующего этапа.

Проценс распространении нового вируса-вымогателя Биткойн «WannaRen» похож на предыдущий вирус «WannaCry». После того, как вирус проник на компьютер, появилось диалоговое окно с вымогателем, чтобы сообщить зашифрованный файл и запросить у пользователя биткойны. Однако из фактического процесса атаки вымогатель «WannaRen» используется хакерской группой «Скрытая тень» для загрузчика PowerShell, чтобы освободить модуль бэкдора и запуска вируса.

Как упоминалось выше, организация «Скрытая тень» перешла на вымогателей, но ее метод атаки является вариантом раннего трояна майнинга. Единственное отличие и ключ к распространению «WannaRen» — модуль бэкдора, выпущенный загрузчиком PowerShell.

По данным,  отслеживаным Центр Безопасности 360, модуль backdoor использует технологию боковой загрузки DLL, которая выпускает легальный исполняемый exe-файл WINWORD.EXE и вредоносный dll-файл wwlib.dll в «C: \ ProgramData» для запуска WINWORD.EXE, загружая wwlib. DLL будет выполнять вредоносный код в DLL.

Модуль backdoor зарегистрирует себя как службу, программа прочитает содержимое C: \ users \ public \ you, запустит один из пяти процессов, показанных на следующем рисунке, и внедрит код вируса-вымогателя WannaRen в процесс для выполнение.

Во внедренном коде вы можете увидеть зашифрованную программную часть вируса-вымогателя:

Полный процесс атаки показан на следующих двух рисунках:

(Бэкдор «Скрытая тень» внедряет svchost.exe и шифрует файл)

Вирус вымогатель WannaRen имеет возможность «горизонтальной передачи», 360 Total Security перехват его мощно

Центр Безопасности 360, также обнаружил, что загрузчик PowerShell, выпущенный организацией «Скрытая тень», содержал модуль распространения «вечный синий». Этот модуль будет сканировать другие компьютеры, и как только они не устранят уязвимость, они будут жестоко заражены и станут еще жертвами вымогателей «WannaRen».

(«Вечный синий» коммуникационный модуль в загрузчике PowerShell)

(Инструмент для извлечения Eternal Blue, выпущенный загрузчиком PowerShell)

Кроме того, загрузчик PowerShell установит на зараженный компьютер бэкдор «everything», используя уязвимость безопасности функции «HTTP-сервер», которая превращает компьютер-жертву в файловый сервер. Трояны распространяются на новые машины.

( Закулисный модуль everything)

 

вирус вымогатель превратит компьютер в файловый сервер, изменив файл конфигурации «everything»

Нетрудно видеть, что если корпоративным пользователям не повезло, вымогатель «WannaRen» может распространиться по внутренней сети. Но не беспокойтесь, 360 Total Security эффективно блокирует этот вирус-вымогатель. Перед лицом атак «WannaRen» вымогателей, Центр Безопасности 360 еще раз напоминает большинству пользователей быть бдительными и вы может эффективно предотвратить вымогателей с помощью следующих мер:

1.Своевременно заходите на www.360totalsecurity.com, загружайте и устанавливайте 360 Total Security, убирайте заднюю дверь «скрытой тени» и предотвращайте доставку вымогателей.

2.Не доверяйте программы, запрашиванные программным обеспечением для защиты от вирусов, и не добавляйте их в доверие или выходите из программы безопасности;

3.Регулярно выявляйте дыры в системе и программном обеспечении и своевременно применяйте исправления.

Подробнее о 360 Total Security