1+
Biztonság

WannaCry Ransomware részletesen

291

A napokban a legnépszerűbb vírussá nőtte ki magát a WannaCry. Sok információt leadtak a magyar tech lapok, de vannak amik elmaradtak, mint például a szakmai része.

Alapvetően tudjuk, hogy mi az NSA (ha nem, itt olvashatunk róla). Onnan szivárgott ki egy Windows sebezhetőség és a hackerek erre építve írtak egy CryptoLocker szerű vírust, amelyet jelenleg „WannaCry” néven hívjuk, de a program pontosan „Wana Decrypt0r” néven fut.

Sajnos ez a vírus több intézmény gépeit fertőzte meg világszerte. Ez Magyarországot is érintette.
A biztonsági kutatócsoport a MalwareTech létrehozott egy weboldalt, ahova összegyűjtik az eddigi adatokat a legfrissebb vírusról. A térképen megtekinthetjük, hogy mely területen mennyi gépet fertőzőtt meg. Eddigi jelentés szerint 200.000-nél tartunk.

Még 2017 februárban az Emsisoft is detektálta a jelenséget, de nem volt olyan nagy mértékű mint a napokban. A Ransomware több néven szerepel, mint például: WNCry, WannaCry, WanaCrypt0r vagy Wana Decrypt0r.

A programot C++ nyelven írták és a kódokat sem rejtették el, így kisebb hozzáértéssel akár bárki tudott módosított verziót készíteni (a cikk írásakor sajnos megtudtam, hogy már vannak módosított verziók is).
Sajnos a legtöbb hasonló vírus és ez is titkosítja a dokumentumainkat és a kiterjesztésüket megváltoztatja a következőre: .wncry kiterjesztésre.

Ha a számítógépet megfertőzte, akkor a képen látható ablak fog megjelenni. Itt a felhasználót $300 (kb 90.000 forint) kifizetésre szólítja fel. Ezt követően a program ígérete szerint feloldja a fájlokat, de nem így fog történni, így semmiképp ne fizessünk.

Elsősorban a WCry NSA termékein keresztül terjedt, de kinőtte magát és a hackerek is megtalálták, így ők a módosított verziókat elrejtették különböző szoftverekben, így próbálták meg terjeszteni. A WCry a Microsoft SMBv1 protokoll biztonsági rését használja ki a támadó számára, hogy átvegye a rendszer és a felhasználó felett az irányítást. Bár tény, hogy a Microsoft befoltozta, sajnos a szervezetek javarésze nem frissíti rendszeresen a számítógépeiken lévő Windows rendszereket.

Mit tegyünk?

Tiltsuk le a SMBv1 protokollt

Telepítsük fel a 2017 márciusban kiadott MS17-010 javítást (természetesen, ha be van kapcsolva az automatikus frissítés, úgy nincs rá szükség)

A fájl felépítése

A Ransomware egy futtatható fájl, mely kicsomagolja magát egy tetszőleges könyvtárba. Ha megpróbáljuk kibontani, akkor jelszót kér, ami „WNcry @ 2ol7”.

A „Zip” kicsomagoló a következő fájlokat tartalmazza:

  • b.wnry (program háttérképe)
  • c.wnry (C2 szerver címeket tartalmazza, illetve konfigurációs fájlokat, mint például BitCoin adatok)
  • r.wnry (Megjegyzések, szövegek)
  • s.wnry (TOR kliens tartalmazó ZIP)
  • t.wnry (WannaCry titkosító része, melyben visszafejthető a ransomware decrypt kulcsa, természetesen ehhez kell a program által generált egyéni kulcs is)
  • u.wnry (Visszafejtés végrehajtó)
  • Taskdl.exe (Törli a titkosítás során létrehozott ideiglenes fájlokat , .wncryt)
  • Taskse.exe (Maga a program ablak)
  • MSG \* (28 különböző nyelvi fordítás van ebben a mappában)

Nyelvek: Olasz, japán, koreai, Lett, norvég, lengyel, portugál, román, bolgár, kínai, cseh, dán, Orosz, Szlovák, Spanyol, Svéd, Török, Vietnami

Emellett még további fájlokat is létrehoz:

  • 00000000.eky – A t.wnry fájl titkosítási kulcsát tartalmazza, melyet a WannaCry program használ. Ez tartalmazza a titkosításba ágyazott magánkulcsot, pontosabban az egyéni kulcsot.
  • 00000000.pky – Ez tartalmazza a nyílt kulcsszavakat, amelyet a titkosításra használnak.
  • 00000000.res – C2 kommunikációs eredmények

Kulcs generálás és titkosítás

A WCry ransomware az RSA és az AES-128-CBC kombinációját használja az áldozatok adatainak titkosításához. A folyamat megkönnyítése érdekében a Windows CryptoAPI-t használja az RSA számára, így a kódolás is gyorsabb, de az AES titkosítás egy egyéni implementáció.

Érdekesség, hogy a titkosítási folyamatot és „motort” a t.wnry fájl külön komponensében tárolja és titkosítva ugyanazt a módszert használva, amelyet a ransomware használ a felhasználói fájlok titkosításához. Ez annyit jelent, hogy maga a fájl és azon belül található komponens is úgy van már alapból titkosítva, ahogy maga a program csinálja majd a fájljainkkal. Ez azért történt, hogy nehezebbé tegyék a rosszindulatú kódok, programok elemzését. A programot és a komponenst a memóriában tölti be anélkül, hogy bármilyen titkosítatlan formában a memóriába kerüljön.

Amikor a WCry betöltődik először egy bonyolult privát RSA kulcsot hoz létre és tárol el a t.wnry fájlban. Ez tartalmazza a visszafejtéshez használható kódokat.

A Ransomware a következő kiterjesztéstípusokat képes titkosítani:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

Ha a program feltelepítette magát, akkor minden ezekkel a kiterjesztésekkel rendelkező fájlnak egy 128 bites AES kulcsot generál és titkosítja.

Sajnos a WCry titkosításának elvégzését követően sajnos nem lehet visszaállítani a titkosított fájlokat anélkül, hogy létrehozná a Decrypt fájlt. Tehát, ha nem kapunk ablakot és engedélyt rá, akkor előfordulhat, hogy dokumentumaink örökre titkosítva maradnak.

Hogyan védekezzünk ellene?

Elsősorban győződjünk meg arról, hogy Windows rendszerünk minden frissítést telepített-e és a Windows Update aktív.

Lehetőleg használjunk akár egy alapvető védelmet nyújtó vírusvédelmi szoftvert (Windows Defender, Emsisoft Anti-Malware)

Hova kerülnek módosítások

Regisztrációs adatbázis

  • HKLM\SOFTWARE\WanaCrypt0r
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
  • HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”

Fájlrendszer

  • @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
  • @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
  • %DESKTOP%\@WanaDecryptor@.bmp
  • %DESKTOP%\@WanaDecryptor@.exe
  • %APPDATA%\tor\cached-certs
  • %APPDATA%\tor\cached-microdesc-consensus
  • %APPDATA%\tor\cached-microdescs.new
  • %APPDATA%\tor\lock
  • %APPDATA%\tor\state
  • <ransomware directory>\00000000.eky
  • <ransomware directory>\00000000.pky
  • <ransomware directory>\00000000.res
  • <ransomware directory>\@WanaDecryptor@.bmp
  • <ransomware directory>\@WanaDecryptor@.exe
  • <ransomware directory>\b.wnry
  • <ransomware directory>\c.wnry
  • <ransomware directory>\f.wnry
  • <ransomware directory>\msg\m_bulgarian.wnry
  • <ransomware directory>\msg\m_chinese (simplified).wnry
  • <ransomware directory>\msg\m_chinese (traditional).wnry
  • <ransomware directory>\msg\m_croatian.wnry
  • <ransomware directory>\msg\m_czech.wnry
  • <ransomware directory>\msg\m_danish.wnry
  • <ransomware directory>\msg\m_dutch.wnry
  • <ransomware directory>\msg\m_english.wnry
  • <ransomware directory>\msg\m_filipino.wnry
  • <ransomware directory>\msg\m_finnish.wnry
  • <ransomware directory>\msg\m_french.wnry
  • <ransomware directory>\msg\m_german.wnry
  • <ransomware directory>\msg\m_greek.wnry
  • <ransomware directory>\msg\m_indonesian.wnry
  • <ransomware directory>\msg\m_italian.wnry
  • <ransomware directory>\msg\m_japanese.wnry
  • <ransomware directory>\msg\m_korean.wnry
  • <ransomware directory>\msg\m_latvian.wnry
  • <ransomware directory>\msg\m_norwegian.wnry
  • <ransomware directory>\msg\m_polish.wnry
  • <ransomware directory>\msg\m_portuguese.wnry
  • <ransomware directory>\msg\m_romanian.wnry
  • <ransomware directory>\msg\m_russian.wnry
  • <ransomware directory>\msg\m_slovak.wnry
  • <ransomware directory>\msg\m_spanish.wnry
  • <ransomware directory>\msg\m_swedish.wnry
  • <ransomware directory>\msg\m_turkish.wnry
  • <ransomware directory>\msg\m_vietnamese.wnry
  • <ransomware directory>\r.wnry
  • <ransomware directory>\s.wnry
  • <ransomware directory>\t.wnry
  • <ransomware directory>\TaskData\Tor\libeay32.dll
  • <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
  • <ransomware directory>\TaskData\Tor\libssp-0.dll
  • <ransomware directory>\TaskData\Tor\ssleay32.dll
  • <ransomware directory>\TaskData\Tor\taskhsvc.exe
  • <ransomware directory>\TaskData\Tor\tor.exe
  • <ransomware directory>\TaskData\Tor\zlib1.dll
  • <ransomware directory>\taskdl.exe
  • <ransomware directory>\taskse.exe
  • <ransomware directory>\u.wnry
  • C:\@WanaDecryptor@.exe

Egyenlőre ennyit sikerült kideríteni a WannaCry-ról. Nektek mi a véleményetek róla? Találkoztatok már ezzel?

bykewix profilképe
Polgár Zoltán @bykewix +602 A világ fordul, ahogy a kocka is, csak lökés kell neki.
Hozzászólások
3
Hozzászóláshoz jelentkezz be vagy Regisztrálj!
vmarci21 02017.05.16 20:54
Ebből sem derül ki a lényeg: Milyen Windows sebezhetőségről van szó, amin terjed a vírus?
Tehát ha 1 épen elindul, akkor a sebezhetőség segítségével végig tud futni az egész hálózaton, vagy a sebezhetőség azért kell hogy rendszergazdai jogokat szerezzen, vagy mihez? Exe fájlként terjed, amit futtatni kell, vagy Word / más dokumentumban? Sőt olyat is olvastam már, hogy elég egy vírusos emailt megnyitni és már fut is, nem kell külön megnyitni a csatolmányt... Ez utóbbi igaz információ?
Ha az utóbbi információ nem igaz, és exe-ről van szó, akkor nem értem. Ki nyit meg egy emailban kapott exe-t??
bykewix 02017.05.16 23:12
Nem ez nem valós. A program általában képként terjed. Vagyis kép ikonnal rendelkezik és úgy tünteti fel magát, tehát pl: valami.jpg (így látod, ha nincs bekapcsolva a kiterjesztés mutatása). Ha mégis be van akkor előny, mert valami.jpg.exe -ként lesz jelen. De láttam már bcap.zip.exe-ként is.
Ez kicsomagolódik, előfordulhat, hogy az eredi kép megjelenik amit szeretnél vagy éppen egy zip megnyílik amit letöltöttél, de mellette már dolgozik a vírus. Ez majdnem olyan mint a Winrarban ismert executable packing.
A másik pedig nem feltétlen emailben terjed. A SpyJoker az másolta magát pendrive-ra és merevlemezekre is (bár ez jelenleg szerintem nem játszik egyik variánsnál sem).
bykewix 02017.05.16 23:15
Sokan azt csinálják, ha emailbe képet kapnak (általában itt sem mindig mutatja a kiterjesztést), akkor megnyitásra mennek és nem a mentésre. Vannak beágyazott képek, amelyek pl: IBM Notes automatikusan a windows-szal nyitja meg, amivel automatice lefut a kód.
Ennek a vírusnak úgymond nem kell rendergazdi engedély, mert semmit nem csinál, amihez az kellene. Saját dokumentumaidat titkosítja (tehát amihez éppen hozzáfér), illetve olyan helyre helyezi a fájljait, ahol úgyszint nem kell rendszergazdának lenni. Az automatikus indulás hozzáadásához sem kell rendszergazdának lenned.