A napokban a legnépszerűbb vírussá nőtte ki magát a WannaCry. Sok információt leadtak a magyar tech lapok, de vannak amik elmaradtak, mint például a szakmai része.

Alapvetően tudjuk, hogy mi az NSA (ha nem, itt olvashatunk róla). Onnan szivárgott ki egy Windows sebezhetőség és a hackerek erre építve írtak egy CryptoLocker szerű vírust, amelyet jelenleg „WannaCry” néven hívjuk, de a program pontosan „Wana Decrypt0r” néven fut.

Sajnos ez a vírus több intézmény gépeit fertőzte meg világszerte. Ez Magyarországot is érintette.
A biztonsági kutatócsoport a MalwareTech létrehozott egy weboldalt, ahova összegyűjtik az eddigi adatokat a legfrissebb vírusról. A térképen megtekinthetjük, hogy mely területen mennyi gépet fertőzőtt meg. Eddigi jelentés szerint 200.000-nél tartunk.

Még 2017 februárban az Emsisoft is detektálta a jelenséget, de nem volt olyan nagy mértékű mint a napokban. A Ransomware több néven szerepel, mint például: WNCry, WannaCry, WanaCrypt0r vagy Wana Decrypt0r.

A programot C++ nyelven írták és a kódokat sem rejtették el, így kisebb hozzáértéssel akár bárki tudott módosított verziót készíteni (a cikk írásakor sajnos megtudtam, hogy már vannak módosított verziók is).
Sajnos a legtöbb hasonló vírus és ez is titkosítja a dokumentumainkat és a kiterjesztésüket megváltoztatja a következőre: .wncry kiterjesztésre.

Ha a számítógépet megfertőzte, akkor a képen látható ablak fog megjelenni. Itt a felhasználót $300 (kb 90.000 forint) kifizetésre szólítja fel. Ezt követően a program ígérete szerint feloldja a fájlokat, de nem így fog történni, így semmiképp ne fizessünk.

Elsősorban a WCry NSA termékein keresztül terjedt, de kinőtte magát és a hackerek is megtalálták, így ők a módosított verziókat elrejtették különböző szoftverekben, így próbálták meg terjeszteni. A WCry a Microsoft SMBv1 protokoll biztonsági rését használja ki a támadó számára, hogy átvegye a rendszer és a felhasználó felett az irányítást. Bár tény, hogy a Microsoft befoltozta, sajnos a szervezetek javarésze nem frissíti rendszeresen a számítógépeiken lévő Windows rendszereket.

Mit tegyünk?

Tiltsuk le a SMBv1 protokollt

Telepítsük fel a 2017 márciusban kiadott MS17-010 javítást (természetesen, ha be van kapcsolva az automatikus frissítés, úgy nincs rá szükség)

A fájl felépítése

A Ransomware egy futtatható fájl, mely kicsomagolja magát egy tetszőleges könyvtárba. Ha megpróbáljuk kibontani, akkor jelszót kér, ami „WNcry @ 2ol7”.

A „Zip” kicsomagoló a következő fájlokat tartalmazza:

• b.wnry (program háttérképe)
• c.wnry (C2 szerver címeket tartalmazza, illetve konfigurációs fájlokat, mint például BitCoin adatok)
• r.wnry (Megjegyzések, szövegek)
• s.wnry (TOR kliens tartalmazó ZIP)
• t.wnry (WannaCry titkosító része, melyben visszafejthető a ransomware decrypt kulcsa, természetesen ehhez kell a program által generált egyéni kulcs is)
• u.wnry (Visszafejtés végrehajtó)
• Taskdl.exe (Törli a titkosítás során létrehozott ideiglenes fájlokat , .wncryt)
• Taskse.exe (Maga a program ablak)
• MSG \* (28 különböző nyelvi fordítás van ebben a mappában)

Nyelvek: Olasz, japán, koreai, Lett, norvég, lengyel, portugál, román, bolgár, kínai, cseh, dán, Orosz, Szlovák, Spanyol, Svéd, Török, Vietnami

Emellett még további fájlokat is létrehoz:

• 00000000.eky – A t.wnry fájl titkosítási kulcsát tartalmazza, melyet a WannaCry program használ. Ez tartalmazza a titkosításba ágyazott magánkulcsot, pontosabban az egyéni kulcsot.
• 00000000.pky – Ez tartalmazza a nyílt kulcsszavakat, amelyet a titkosításra használnak.
• 00000000.res – C2 kommunikációs eredmények

Kulcs generálás és titkosítás

A WCry ransomware az RSA és az AES-128-CBC kombinációját használja az áldozatok adatainak titkosításához. A folyamat megkönnyítése érdekében a Windows CryptoAPI-t használja az RSA számára, így a kódolás is gyorsabb, de az AES titkosítás egy egyéni implementáció.

Érdekesség, hogy a titkosítási folyamatot és „motort” a t.wnry fájl külön komponensében tárolja és titkosítva ugyanazt a módszert használva, amelyet a ransomware használ a felhasználói fájlok titkosításához. Ez annyit jelent, hogy maga a fájl és azon belül található komponens is úgy van már alapból titkosítva, ahogy maga a program csinálja majd a fájljainkkal. Ez azért történt, hogy nehezebbé tegyék a rosszindulatú kódok, programok elemzését. A programot és a komponenst a memóriában tölti be anélkül, hogy bármilyen titkosítatlan formában a memóriába kerüljön.

Amikor a WCry betöltődik először egy bonyolult privát RSA kulcsot hoz létre és tárol el a t.wnry fájlban. Ez tartalmazza a visszafejtéshez használható kódokat.

A Ransomware a következő kiterjesztéstípusokat képes titkosítani:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

Ha a program feltelepítette magát, akkor minden ezekkel a kiterjesztésekkel rendelkező fájlnak egy 128 bites AES kulcsot generál és titkosítja.

Sajnos a WCry titkosításának elvégzését követően sajnos nem lehet visszaállítani a titkosított fájlokat anélkül, hogy létrehozná a Decrypt fájlt. Tehát, ha nem kapunk ablakot és engedélyt rá, akkor előfordulhat, hogy dokumentumaink örökre titkosítva maradnak.

Hogyan védekezzünk ellene?

Elsősorban győződjünk meg arról, hogy Windows rendszerünk minden frissítést telepített-e és a Windows Update aktív.

Lehetőleg használjunk akár egy alapvető védelmet nyújtó vírusvédelmi szoftvert (Windows Defender, Emsisoft Anti-Malware)

Hova kerülnek módosítások

Regisztrációs adatbázis

• HKLM\SOFTWARE\WanaCrypt0r
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
• HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
• HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”

Fájlrendszer

• @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
• @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
• %DESKTOP%\@WanaDecryptor@.bmp
• %DESKTOP%\@WanaDecryptor@.exe
• %APPDATA%\tor\cached-certs
• %APPDATA%\tor\cached-microdesc-consensus
• %APPDATA%\tor\cached-microdescs.new
• %APPDATA%\tor\lock
• %APPDATA%\tor\state
• <ransomware directory>\00000000.eky
• <ransomware directory>\00000000.pky
• <ransomware directory>\00000000.res
• <ransomware directory>\@WanaDecryptor@.bmp
• <ransomware directory>\@WanaDecryptor@.exe
• <ransomware directory>\b.wnry
• <ransomware directory>\c.wnry
• <ransomware directory>\f.wnry
• <ransomware directory>\msg\m_bulgarian.wnry
• <ransomware directory>\msg\m_chinese (simplified).wnry
• <ransomware directory>\msg\m_chinese (traditional).wnry
• <ransomware directory>\msg\m_croatian.wnry
• <ransomware directory>\msg\m_czech.wnry
• <ransomware directory>\msg\m_danish.wnry
• <ransomware directory>\msg\m_dutch.wnry
• <ransomware directory>\msg\m_english.wnry
• <ransomware directory>\msg\m_filipino.wnry
• <ransomware directory>\msg\m_finnish.wnry
• <ransomware directory>\msg\m_french.wnry
• <ransomware directory>\msg\m_german.wnry
• <ransomware directory>\msg\m_greek.wnry
• <ransomware directory>\msg\m_indonesian.wnry
• <ransomware directory>\msg\m_italian.wnry
• <ransomware directory>\msg\m_japanese.wnry
• <ransomware directory>\msg\m_korean.wnry
• <ransomware directory>\msg\m_latvian.wnry
• <ransomware directory>\msg\m_norwegian.wnry
• <ransomware directory>\msg\m_polish.wnry
• <ransomware directory>\msg\m_portuguese.wnry
• <ransomware directory>\msg\m_romanian.wnry
• <ransomware directory>\msg\m_russian.wnry
• <ransomware directory>\msg\m_slovak.wnry
• <ransomware directory>\msg\m_spanish.wnry
• <ransomware directory>\msg\m_swedish.wnry
• <ransomware directory>\msg\m_turkish.wnry
• <ransomware directory>\msg\m_vietnamese.wnry
• <ransomware directory>\r.wnry
• <ransomware directory>\s.wnry
• <ransomware directory>\t.wnry
• <ransomware directory>\TaskData\Tor\libeay32.dll
• <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
• <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
• <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
• <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
• <ransomware directory>\TaskData\Tor\libssp-0.dll
• <ransomware directory>\TaskData\Tor\ssleay32.dll
• <ransomware directory>\TaskData\Tor\taskhsvc.exe
• <ransomware directory>\TaskData\Tor\tor.exe
• <ransomware directory>\TaskData\Tor\zlib1.dll
• <ransomware directory>\taskdl.exe
• <ransomware directory>\taskse.exe
• <ransomware directory>\u.wnry
• C:\@WanaDecryptor@.exe

Egyenlőre ennyit sikerült kideríteni a WannaCry-ról. Nektek mi a véleményetek róla? Találkoztatok már ezzel?