Все уже в курсе про многоликий вирус-вымогатель WannaCry, известный также как WanaCryptor, WanaCrypt0r, WCrypt, WCRY или WNCRY. Вирус этот наделал много шума, да. Несмотря на отсутствие дешифраторов, находятся предприимчивые граждане, которые оказывают услуги по расшифровке WNCRY-файлов. Но пост не об этом.
Неожиданное заявление сделали на днях исследователи из Proofpoint. Оказывается вирус WannaCry хоть и стал известным, но всё же не был первым, кто активно эксплуатировал уязвимости в Windows, используя EternalBlue и DoublePulsar.
Да, его обогнал «тихий» вирус-майнер Adylkuzz, который использовал аналогичные способы распространения и заражения компьютеров под управлением Windows.
Исследователи предполагают, что распространение вируса Adylkuzz может быть ещё более масштабным. По их оценкам, активная кампания по распространению зловреда проходила в период с 24 апреля по 2 мая 2017 года.
Как удалось поймать Adylkuzz
В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету.
Судя по всему, атака шла с нескольких
Как распространяется Adylkuzz
Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации, определяет публичный IP-адрес жертвы, загружает инструкции и криптомайнер. Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.
А майнит Adylkuzz не биткойн, а Monero. Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Благородные разработчики Adylkuzz пошли другим путём: вместо того, чтобы требовать вознаграждение от пользователей за расшифровку файлов, они получают вознаграждение за используемые ресурсы. Учитывая, что компьютер продолжает находиться в составе ботнета, всё же сложно назвать вирусописателей благородными :-)
Интересен ещё и такой факт: попадая на компьютер жертвы, Adylkuzz как бы закрывает дверь изнутри и вирус WannaCry просто не может на него проникнуть. То есть распространение одного вируса, способствовало подавлению эпидемии распространения другого.
Учитывая масштабы распространения WannaCry, интересно, на какое количество компьютеров успел поселиться Adylkuzz?
Автор: steff