WanaCryptor、WanaCrypt0r、WCrypt、WCRY、またはWNCRYとしても知られている多面的なランサムウェアウイルスWannaCryは、すでに誰もが知っています。 はい、このウイルスは多くのノイズを作りました。 デコーダーがないにもかかわらず、 WNCRYファイルをデコードするためのサービスを提供する進取の気性に富んだ市民がいます 。 しかし、投稿はそれについてではありません。
Proofpointの研究者たちは先日、予期しない声明を発表しました。 WannaCryウイルスは、有名になりましたが、EternalBlueとDoublePulsarを使用してWindowsの脆弱性を積極的に悪用した最初のウイルスではないことがわかりました。
はい、「サイレント」なAdylkuzzマイナーウイルスによって追い抜かれました。このウイルスは、Windowsコンピュータを拡散して感染させる同様の方法を使用しました。
研究者は、Adylkuzzウイルスの拡散はさらに大きくなる可能性があることを示唆しています。 彼らの推定によると、マルウェアを拡散するための積極的なキャンペーンが2017年4月24日から5月2日に行われました。
Adylkuzzをどのようにキャッチしましたか
調査中、彼らはEternalBlueに対して脆弱なコンピューターをインターネットに接続し、WannaCryがキャッチされるのを待ちました。 しかし、驚いたことに、コンピューターは予期せず騒がしいゲスト、Adylkuzzウイルスマイナーを拾いました。 彼らはクリーンなコンピューターをインターネットに数回接続する操作を繰り返しましたが、結果は同じです。約20分後にAdylkuzzウイルスに感染し、ボットネットに接続したことが判明しました。
どうやら、攻撃はインターネットをスキャンし、445番目のポートが開いているターゲットを探す複数のVPSから来たようです。
Adylkuzzの広がり
被害者のコンピューターでAdylkuzzがコンピューターをスキャンして自身のコピーを探し、それらを終了し、SMB通信をブロックし、被害者のパブリックIPアドレスを決定し、指示と暗号マイナーをダウンロードします。 命令と必要なモジュールをダウンロードするウイルス管理サーバーがいくつかあるようです。
そして、Adylkuzz鉱山はビットコインではなく、 Moneroです。 他の暗号通貨と同様に、Moneroはマイニングプロセスで時価総額を増やします。 ウイルスはファイルの復号化に対して報酬を必要としないという事実にもかかわらず、静かに「お金」を採掘しますが、開発者を貴族と呼ぶことは依然として困難です-コンピュータは引き続きボットネットの一部です。 彼が将来どのように振る舞うかは知られていない。
また、この事実は興味深いものです。犠牲者のコンピューターに乗ると、Adylkuzzは内側からドアを閉め、WannaCryウイルスは単に侵入できません。 つまり、あるウイルスのspread延は、別のウイルスのspread延の抑制に役立ちました。
WannaCryの規模を考えると、Adylkuzzが何台のコンピューターで落ち着いたのだろうか。
UPD、 Adylkuzzの発見方法に関するProofpoint記事の完全な翻訳が登場しました。