X

Напишите нам!

Я согласен на обработку моих персональных данных, в соответствии с условиями.
X

Стать партнером!

CAPTCHA
Я согласен на обработку моих персональных данных, в соответствии с условиями.
X

Запланировать бесплатное тестирование Palo Alto Networks

Первоначальная оценка хакерской атаки WannaCry

15 мая 2017

12 мая 2017 года хакерской атаке подверглись крупнейшие организации в странах Европы и Средней Азии. Кампания была построена на быстро распространяющемся вредоносном программном обеспечении, предназначенном для вымогательства WannaCry (с англ. — «хочется плакать).

Компания FireEye, пионер в сфере информационной безопасности, чьи решения позволяют защитить ИТ инфраструктуру от сложных угроз, вредоносного ПО нового поколения, атак 0-Дня и фишинговых атак, выпустила специальный отчет, который предоставляет первоначальные оценки относительно данной кампании и ее развития. 

Вирус WannaCry для распространения использовал уязвимость SMB протокола. Учитывая стремительность распространения вредоносного ПО, компания FireEye считает, что его активность сопряжена с высоким риском для всех организаций, использующих потенциально уязвимые машины c Windows. Для закрытия уязвимости необходимо установить набор исправлений MS17-010 Microsoft Security.

Приведенные ниже аналитические данные могут измениться, поскольку детали этой угрозы уточняются.

Публичные отчеты показывают, что инциденты, связанные с вредоносными программами семейства WannaCry Ransomware, были зарегистрированы в нескольких странах. Были выявлены признаки потенциального заражения, в частности в следующих странах, но этими странами не ограничивается: Германия, Аргентина, Российская федерация, Испания, Швецария, Словакия, Украина, Великобритания.

Решения FireEye помогут обнаружить WannaCry

Решения FireEye для сети, почты и рабочих станций могут помочь обнаружить вирус. Кроме того, решения FireEye могут отслеживать последующее взаимодействие зараженных хостов WannaCry с центром управления ботсетью. Сенсоры PX (составляющая решений FireEye для рабочих станций), передающие данные в сервис FaaS, помогают выявить увеличивающийся SMB трафик.

Дополнительная информация доступна по ссылкам:

• Microsoft information on MS17-010 bulletin https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• FireEye iSIGHT Intelligence information on the MS17-010 bulletin: https://mysight.isightpartners.com/report/full/17-00002524
• FireEye iSIGHT Intelligence information on the ShodowBrokers release: https://mysight.isightpartners.com/report/full/17-00003789

Вектор заражения этого инцидента на текущий момент не известен, но компания FireEye продолжает поиски.

Анализ вируса и индикаторы компроментации

Реверс-инженеры FireEye анализируют образцы, которые получили, чтобы подтвердить возможности данного вредоносного ПО. 

Ниже приведены индикаторы, которые они наблюдали в ходе предварительного анализа:

• Образец MD5


• Центр управления (Command & Control)


• Ключи реестра


• Создаваемые файлы


• Строки файла


Дополнительно могут быть созданы файлы с расширением .wrny

• Запускаемые процессы

264
(0)