Нашумевшую уязвимость в SMB уже несколько недель эксплуатирует майнер Adylkuzz / SMB :: вирусы :: новости :: Wana decrypt0r :: Adylkuzz

anon

Нашумевшую уязвимость в SMB уже несколько недель эксплуатирует майнер Adylkuzz

Как оказалось, шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.

Специалисты компании Proofpoint <a href="https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar">обнаружили</a> криптовалютный майнер Adylkuzz, который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.

Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.По данным специалистов, операторы малвари уже «заработали» порядка $43 000, хотя точное количество пострадавших устройств неизвестно.

Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry. Дело в том, что заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.

IICldll.CAC IICIOI/ ipOCO OIQIIt OUU IIIICIIIOI II QlI fC l/U/Lif»
Adylkuzz blocking SMB
© cmd.exe 3620 /c neis/7 ipsec static add interaction name=biock action=biock
■ netsh.exe 3676 netsii ipsec static add filteraction name=block action=block o cmd.exe 3740 /c netsii ipsec static add filter

Еще один вредонос, Uiwix, тоже эксплуатирующий баг в протоколе SMB, появился уже после WannaCry, однако это не делает его менее опасным. Проблему <a href="https://heimdalsecurity.com/blog/security-alert-uiwix-ransomware/">заметили</a> специалисты компании Heimdal Security.

Также как и WannaCry, Uiwix – это шифровальщик, однако в отличие от <a href="https://xakep.ru/2017/05/15/wana-decrypt0r-new-versions/">многочисленных подражателей</a> WannaCry, он действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», так что остановить его распространение, <a href="https://xakep.ru/2017/05/13/wana-decrypt0r/">зарегестрировав определенный домен</a>, не выйдет.

Сообщается, Uiwix шифрует данные жертв и требует выкуп в размере 0.11943 бикоина (порядка 215 долларов по текущему курсу).

$© MAIN | -> \ EXIT To get the program to decrypt files You need to pay: 0.11943 BTC (~200$) How to pay? Qbitcoin 1. You should click Here to find out how to sign up for a Bitcoin wallet. 2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin: • coincafe.com -$

Специалисты обеих компаний напоминают всем, кто по какой-то причине еще не установил обновление <a href="https://technet.microsoft.com/en-us/library/security/ms17-010.aspx">MS17-010</a>, закрывающее брешь в SMB, что это стоит сделать немедленно, а также закрыть 445 порт. Также, учитывая серьезность происходящего, в минувшие выходные компания Microsoft представила <a href="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598">экстренные патчи</a> для старых ОС: Windows XP, Windows 8 и Windows Server 2003.

Новость взята(стырена) с <a href="https://xakep.ru/2017/05/17/more-attacks-on-smb/">xakep.ru</a>

Подробнее
IICldll.CAC IICIOI/ ipOCO OIQIIt OUU IIIICIIIOI II QlI fC l/U/Lif» Adylkuzz blocking SMB © cmd.exe 3620 /c neis/7 ipsec static add interaction name=biock action=biock ■ netsh.exe 3676 netsii ipsec static add filteraction name=block action=block o cmd.exe 3740 /c netsii ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445 ■ netsh.exe 3796 netsii ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445 o cmd.exe 3860 /c netsii ipsec static add rule name=biock policy=netbc filterlist=biock fiiteraction=biock ■ netsh.exe 3916 netsii ipsec static add rule name=biock poiicy=netbc filterlist=biock filteraction=biock o cmd.exe 3980 /c netsii ipsec static set policy name=netbc assign=y ■ netsh.exe 4036 netsii ipsec static set policy name=netbc assign=y o cmd.exe 2556 /c taskkill/f/im msiexev.exe ■ taskkill.exe 2656 taskkill/f/im msiexev.exe o cmd.exe 2748 /c netsii advfirewall firewall delete rule name="Cbrome" ■ netsh.exe 3112 netsii advfirewall firewall delete rule name="Cbrome' o cmd.exe 3476 /c netsii advfirewall firewall delete rule name="Windriver" ■ netsh.exe 3572 netsii advfirewall firewall delete rule name="Windrivern o cmd.exe 3712 /c netsii advfirewall firewall add rule name="Cbromen dir=in program=n%PROGRAMFILES%\Google\Chrome\Application\cbrome.txt" action=allow ■ netsh.exe 3768 netsii advfirewall firewall add rule name="Cbromen dir=in program="C:\Program Files\Google\Chrome\Application\ctirome.txt" action=allow o cmd.exe 3780 /c netsii advfirewall firewall add rule name=nWmdriver" dir=in program=n%PROGRAMFILES%\Hardware Driver Management\windriver.exen action=allow ■ netsh.exe 3928 netsii advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exen action=allow services.exe 432 o svchost.exe 548 -k DcomLaundi ■ WmiPrvSE.exe 2956 -secured -Embedding o svchost.exe 2808 -k netsvcs o wuauser.exe 2420 -server ■ cmd.exe 1784 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 2692 taskkill/f/im tidmanager.exe ■ cmd.exe 2804 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3056 taskkill/f/im tidmanager.exe ■ cmd.exe 2776 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3076 taskkill/f/im tidmanager.exe ■ cmd.exe 2796 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3264 taskkill/f/im tidmanager.exe ■ msiexev.exe 3612 -a cryptomgiit -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1 V2suGMS8JyPEU5FTtJRTHQ9Ymra\A/7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW(. ■ cmd.exe 3864 /c taskkill/f/im tidmanager.exe Monero mining command
© MAIN | -> \ EXIT To get the program to decrypt files You need to pay: 0.11943 BTC (~200$) How to pay? Qbitcoin 1. You should click Here to find out how to sign up for a Bitcoin wallet. 2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin: • coincafe.com - Recommended for fast, simple service. Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order • btcdirect.eu - The best place for Europe • other - Or any other convenient for you service 3. Send 0.11943 BTC to Bitcoin address: 16VWXvuc3iF8gDHhfGEpiGaUzKgiGmytYy 4. Ensure your payment information and then Click 'Check Payment' Check Payment
Adylkuzz,Wana decrypt0r,новости,вирусы,SMB,удалённое

Еще на тему