19 Мая, 2017

UIWIX как последователь WannaCry. Патриотизм или киберподстава?

Андрей Дугин
Тема с WannaCry уже настолько замусолила новости, что специалисты по ИБ от нее начинают морщиться и закатывать глаза, как Тони Старк. А вирусописатели - нет. 
Специалисты TrendMicro обнаружили новый вирус-шифровальщик UIWIX, который использует те же уязвимости, что и WannaCry. Но есть определенные отличия. Ниже приводится табличка, которая говорит о том, что создатели учли ошибки WannaCry и несколько модернизировали механизм. Теперь и шифрует, и пароли крадет, и кошельки разные требует, и ближе к народу стал, снизив цену выкупа в полтора раза. Радует только то, что на фоне лихорадки WannaCry пропатчились даже те, кто не патчился уже давно.
http://mrmaykin.ru/cache/files/a1f1a37c5fd5003ac6f90cb25a10c149.jpg

В таблице показаны различия WannaCry и UIWIX.


WannaCry UIWIX
Attack Vectors SMB vulnerabilities ( MS17-010 ), TCP port 445 SMB vulnerabilities ( MS17-010 ), TCP port 445
File Type Executable (EXE) Dynamic-link Library (DLL)
Appended extension {original filename}.WNCRY ._{unique id}.UIWIX
Autostart and persistence mechanisms Registry None
Anti-VM, VM check, or anti-sandbox routines None Checks presence of VM and sandbox-related files or folders
Network activity On the internet, scans for random IP addresses to check if it has an open port 445;  connects to .onion site using Tor browser  Uses mini-tor.dll to connect to .onion site
Exceptions (doesn’t execute if it detects certain system components) None Terminates itself if found running in Russia, Kazakhstan, and Belarus
Exclusions (directories or file types it doesn’t encrypt) Avoids encrypting files in certain directories Avoids encrypting files in two directories, and files with certain strings in their file name
Network scanning and propagation Yes (worm-like propagation) No
Kill switch Yes No
Ransom amount $300 paid in Bitcoins $200 paid in Bitcoins


Интересует выделенное желтым, особенно механизм верификации. Все помнят версии Conficker, которые пытались приписать России и Украине, но тогда не было так модно валить все на русских хакеров, больше на китайских. Одна из модификаций при наличии украинской раскладки уничтожала сама себя, за что и подумали на Украину. Подумали - и забыли, потому что другим версиям геолокация была не столь принципиальна и Украина тоже немало повозилась с дезинфекцией.
Здесь же пишут, что определяется любая из трех стран RU, BY, KZ. Как однозначно происходит идентификация - не знаю. Вопрос задал по ссылке на TrendMicro, подождем ответа. 

Если пофантазировать: 
  • По наличию русской раскладки на ПК не вариант - она во всех странах СНГ есть.
  • По IP. Адрес ПК не всегда белый, особенно корпоративный. Тогда нужно сверяться с некой базой. С собой ее носить не будешь - объем велик. Подключаться проверять - проявлять лишнюю активность, демаскирующий фактор. 
  • Ваш вариант.
А самое главное - зачем выбраны именно эти страны? Варианты:
  • Эксперты TrendMicro слишком обобщили, не проверив остальные страны либо загрубив признаки.
  • Чтобы было проще списать на русских хакеров либо Таможенный союз ЕврАзЭС. В последнем варианте забыли добавить Армению и Киргизию.
  • Русские (ТС ЕАЭС) хакеры реально существуют, пишут вирусы, не берегут себя, и патриотизм их выдает. 
  • Ваш вариант.
Изучение вирусов - не мой профиль, еще подцеплю чего. Поэтому ждем, что ответят в TrendMicro. Да и другие лаборатории, думаю, тоже принялись изучать и опубликуют. 
Там виднее будет.
comments powered by Disqus