Тема с WannaCry уже настолько замусолила новости, что специалисты по ИБ от нее начинают морщиться и закатывать глаза, как Тони Старк. А вирусописатели - нет.
Специалисты TrendMicro обнаружили новый вирус-шифровальщик UIWIX, который использует те же уязвимости, что и WannaCry. Но есть определенные отличия. Ниже приводится табличка, которая говорит о том, что создатели учли ошибки WannaCry и несколько модернизировали механизм. Теперь и шифрует, и пароли крадет, и кошельки разные требует, и ближе к народу стал, снизив цену выкупа в полтора раза. Радует только то, что на фоне лихорадки WannaCry пропатчились даже те, кто не патчился уже давно.
В таблице показаны различия WannaCry и UIWIX.
| WannaCry | UIWIX | |
| Attack Vectors | SMB vulnerabilities ( MS17-010 ), TCP port 445 | SMB vulnerabilities ( MS17-010 ), TCP port 445 |
| File Type | Executable (EXE) | Dynamic-link Library (DLL) |
| Appended extension | {original filename}.WNCRY | ._{unique id}.UIWIX |
| Autostart and persistence mechanisms | Registry | None |
| Anti-VM, VM check, or anti-sandbox routines | None | Checks presence of VM and sandbox-related files or folders |
| Network activity | On the internet, scans for random IP addresses to check if it has an open port 445; connects to .onion site using Tor browser | Uses mini-tor.dll to connect to .onion site |
| Exceptions (doesn’t execute if it detects certain system components) | None | Terminates itself if found running in Russia, Kazakhstan, and Belarus |
| Exclusions (directories or file types it doesn’t encrypt) | Avoids encrypting files in certain directories | Avoids encrypting files in two directories, and files with certain strings in their file name |
| Network scanning and propagation | Yes (worm-like propagation) | No |
| Kill switch | Yes | No |
| Ransom amount | $300 paid in Bitcoins | $200 paid in Bitcoins |
Интересует выделенное желтым, особенно механизм верификации. Все помнят версии Conficker, которые пытались приписать России и Украине, но тогда не было так модно валить все на русских хакеров, больше на китайских. Одна из модификаций при наличии украинской раскладки уничтожала сама себя, за что и подумали на Украину. Подумали - и забыли, потому что другим версиям геолокация была не столь принципиальна и Украина тоже немало повозилась с дезинфекцией.
Здесь же пишут, что определяется любая из трех стран RU, BY, KZ. Как однозначно происходит идентификация - не знаю. Вопрос задал по ссылке на TrendMicro, подождем ответа.
Если пофантазировать:
- По наличию русской раскладки на ПК не вариант - она во всех странах СНГ есть.
- По IP. Адрес ПК не всегда белый, особенно корпоративный. Тогда нужно сверяться с некой базой. С собой ее носить не будешь - объем велик. Подключаться проверять - проявлять лишнюю активность, демаскирующий фактор.
- Ваш вариант.
А самое главное - зачем выбраны именно эти страны? Варианты:
- Эксперты TrendMicro слишком обобщили, не проверив остальные страны либо загрубив признаки.
- Чтобы было проще списать на русских хакеров либо Таможенный союз ЕврАзЭС. В последнем варианте забыли добавить Армению и Киргизию.
- Русские (ТС ЕАЭС) хакеры реально существуют, пишут вирусы, не берегут себя, и патриотизм их выдает.
- Ваш вариант.
Изучение вирусов - не мой профиль, еще подцеплю чего. Поэтому ждем, что ответят в TrendMicro. Да и другие лаборатории, думаю, тоже принялись изучать и опубликуют.
Там виднее будет.
