Wana Decrypt0r 2.0ランサムウェア分析

Wana Decrypt0r 2.0ランサムウェアの分析により、機能を特定し、マルウェアを拡散させる動作と方法を分析します。

SMBを介して配布されるWanna Decrypt0rはWanna Cryの2番目のバージョンであり、より古典的な方法（フィッシング）で配布されたため、インデックスは2.0です。 現時点では、少なくとも3つの暗号化ブランチがあります。フィッシング（最初）、killswitch（第一波）、killswitchなし（ほんの数時間前にリリース）。 2017年5月14日午後10:00時点で、キラースイッチャーなしを含め、マルウェアの2番目と3番目の亜種が検出されました 。

統計

感染症：

現在（19:00 GMT + 3）236,648台の車が感染しています（明日、この数字が大幅に増加する可能性が高い）。 マネージングディレクター（または、配布の責任者）がドメインを同期することはできましたが、このドメインに「投稿」することで感染数を判断することは正しくありません。 一部の感染したマシンは、NATの背後にあるか、グローバルネットワークから切断されている可能性があります。

支払い：

復号化のための身代金は、3つのビットコインウォレットに転送されます。

• 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn：4.33279223 BTC-$ 7799
• 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94：6.00472753 BTC-$ 10808
• 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw：8.78127705 BTC-$ 15806

コマンドセンター：

• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion

サポートされている言語：

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

:

, , , , :

00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
00:34 < nulldot> 0x1000f270, 12, 00000000.pky
00:34 < nulldot> 0x1000f2a4, 12, 00000000.res
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Killswitch :

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. .

:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

:

2048- RSA. .

:

MS17-010 SMBv1. , , Windows, Vista, , Microsoft — Windows XP.

 



 

ETERNALBLUE , "" ShadowBrokers. : DoublePulsar , ETERNALBLUE.

 

 

, .

 

 

445 — 3 :

 

tLab, . , . , . — , T&T Security.

T&T Security 2013 , . 10 . - .

2017 T&T Security tLab , . tLab SOC-, .

:

№1

SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c



№2

SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

tLab - ( 100%), (85% ) — ( ). tLab. / , , , - .. .

(), , , -. . , , - .

 

 

, 100 -. , , . IP- . 90 . - ( ), . .

— .

 

 

. SMBv1, IP- 445 (SMB). 20 60 000 IP- . , , .

 

 

Tor. 443, 9101, 9102 IP-, Tor. :

• 85.248.227.164:9002
• 194.109.206.212:443
• 217.79.190.25:9090
• 204.11.50.131:9001
• 95.183.48.12:443
• 171.25.193.9:80
• 195.154.164.243:443
• 131.188.40.189:443
• 5.9.159.14:9001
• 199.254.238.52:443
• 178.16.208.57:443
• 128.31.0.39:9101
• 154.35.175.225:443
• 163.172.35.247:443

, Tor. , ": " . Tor 7 000.

, , “tasksche.exe”, . , (“reg.exe”) , :

cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v "abzyckxcqecwnu394" /t reg_sz /d "\"c:\intel\abzyckxcqecwnu394\tasksche.exe\""
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

-, .

 



 

№1 "" :

c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin
c:\intel\abzyckxcqecwnu394\tasksche.exe
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, .

 



 

“tasksche.exe” “@wanadecryptor@.exe” , , , . WNcry@2ol7.

@wanadecryptor@.exe

c:\intel\abzyckxcqecwnu394\@wanadecryptor@.exe
c:\@wanadecryptor@.exe
c:\docs\@wanadecryptor@.exe
c:\docs\docs\@wanadecryptor@.exe
c:\documents and settings\default user\(01;=k\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\cookies\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\(01;=k\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\(01;=k\@wanadecryptor@.exe
c:\programms\@wanadecryptor@.exe
c:\programms\totalcmd\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp1\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp2\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp3\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp4\@wanadecryptor@.exe
c:\temp\screener\@wanadecryptor@.exe
c:\documents and settings\all users\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\ 01g89 ab;\@wanadecryptor@.exe
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

.

 



 

“@wanadecryptor@.exe” Tor- “c:\intel\abzyckxcqecwnu394\taskdata\tor\taskhsvc.exe”.

c:\intel\abzyckxcqecwnu394\taskdata\tor\libeay32.dll                    
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent-2-0-5.dll                  
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_core-2-0-5.dll             
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_extra-2-0-5.dll                
c:\intel\abzyckxcqecwnu394\taskdata\tor\libgcc_s_sjlj-1.dll                 
c:\intel\abzyckxcqecwnu394\taskdata\tor\libssp-0.dll                        
c:\intel\abzyckxcqecwnu394\taskdata\tor\ssleay32.dll                    
c:\intel\abzyckxcqecwnu394\taskdata\tor\tor.exe                     
c:\intel\abzyckxcqecwnu394\taskdata\tor\zlib1.dll                       
c:\intel\abzyckxcqecwnu394\\taskdata\tor\taskhsvc.exe                   
c:\temp\screener\newwindows\@wanadecryptor@.exe                                 
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, Windows:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, .

, , , -. , - (), TOR , . , , , .

 



 

. IOC (index of compromise, ).

, , , , , .

. , , . , , .