Новая модификация вируса может опять обрушить уанет
Не успели айтишники восстановить все поврежденные ресурсы уанет, как пришло новое предупреждение.
Глава ИнАУ — Александр Федиенко сделал такую запись в своем фейсбук аккаунте:
"Зафіксовано розповсюдження .Net версії WannaCry (WannaCry2/3).
Код видозмінений. Відмінності від того, що ми вже бачили:
1) Сам dropper не активується простим запуском. Має бути рядок/команда ініціалізації.
2) Якщо файл, котрий ransomware збирається зашифрувати зайнятий іншим процесом – цей процес завершується.
3) Компоненти почали завантажуватися вчора, шифруючий елемент із каталогу C:ProgramDataMedocISMedocISed.exe
4) Це переписаний код, нова реалізація тому блеклістінг доменів від першої версії тут не допомагає.
Вектори атаки:
На даний момент точно не встановлено.
Припускаю фішинг + оновлення того ж medoc, або це просто спроба заплутати сліди.
Аналіз зразків В процесі.
Маркери компрометації:
Dropper, повний пакет SHA256: 51e84accb6d311172acb45b3e7f857a18902265ce1600cfb504c5623c4b612ff
File name: wc.exe Detection ratio: 11 / 61
https://www.virustotal.com/…/51e84accb…/analysis/1498628674/
Графічний інтерфейс (інфо про викуп)
SHA256: 7b6a2cbb8909616fe035740395d07ea7d5c2c0b9ff2111ae813f11141ad77ead
File name: wd.exe
Detection ratio: 10 / 61�Analysis date: 2017-06-28 17:06:05 UTC ( 18 hours, 36 minutes ago ) View latest
https://www.virustotal.com/…/7b6a2cbb8…/analysis/1498669565/
Елемент який здійснює шифрування файлів
SHA256: db8e7098c2bacad6ce696f3791d8a5b75d7b3cdb0a88da6e82acb28ee699175e
File name: ed.exe
Detection ratio: 8 / 60
Analysis date: 2017-06-29 07:59:30 UTC ( 3 hours, 43 minutes ago ) View latest
https://www.virustotal.com/…/db8e7098c…/analysis/1498723170/
С2 в мережі ТОR: 4gxdnocmhl2tzx3z[.]onion – досі активний"
Что делать?
1. Обновить ваше системное ПО.
2. Установить антивирус (если у вас его нет) и обновить его.
3. Если в вашем антивирусе не стоит файервол — установить немедленно.
4. Не открывать любые письма — если они получены не от лично знакомых вам людей, не переходить по ссылкам которые кто угодно вам рекомендует в сети.
Еще никто не комментировал данный материал.
Написать комментарий