«WannaCry»–ի խմբագրումների տարբերություն

Content deleted Content added

Գծային

07:38, 7 Հունիսի 2017-ի տարբերակ

WannaCry, հայտնի է նաև WannaCrypt^[1], WCry^[2], WanaCrypt0r 2.0^[3] и Wanna Decryptor^[4] — վնասակար ծրագիր է, որը համարվում է նաև ցանցային որդ.խաթարում է օգտատերերի բանկային և դրամական հաշիվները, վնասելով միայն այն համակարգիչները, որոնք աշխատում են Microsoft Windows օպերացիոն համակարգով:Այս վնասակար ծրագիրը կոդավորում է համակարգչում առկա բոլոր ֆայլերը և ապակոդավորման համար գումար է պահանջում: Նրա մասսայական գործըթացն սկսվել է 2017թվականի մայիսի 12-ից,առաջին թիրախային համակարգիչները Իսպանիայում էին,որից հետո կաթվածահար եղան նաև այլ երկրների համակարգիչներ: Նրանց շարքերում հայտնվեցին Ռուսաստանը, Ուկրաինան, Հնդկաստանը^[5]: Տարբեր բարդության աստիճաններով վնասվեցին ավելի քան 500 հազար համակարգիչներ^[6],որոնք պատկանում էին անհատների, կոմերցիոն կազմակերպությունների ու կառավարման համակարգերի, աշխարհի ավելի քան 150 երկրների^[7]:

Գրոհի մեթոդները

Այս վնասակար ծրագիրը մուտքագրվում է ինտերնետային կայքերը փնտրում է այնպիսի համակարգիչներ,որոնք ունեն բաց TCP-port 445 պորտ և, որը պատասխանատու է սպասարկման SMBv1 արձանագրության համար: Գտնելով այդպիսի համակարգիչ՝ ծրագիրը մի քանի անգամ փորձում է շահագործել նրա խոցելիությունը` EternalBlue, հասնելով նպատակին`տեղակայում է ՙՙգաղտնի դուռ" DoublePulsar,որին հաջորդում է WannaCry վիրուսային կոդի ներբեռնումն ու տեղակայումը: Յուրաքանչյուր փորձի ժամանակ վնասակար ծրագիրը ստուգում է ամբողջ համակարգչի բոլոր խոցելի տեղերը` DoublePulsar, և հայտնաբերելուց հետո սկսվում է տեղակայման գործընթացը «սև մուտքի»(back door) միջոցով^[8]: Վնասակար ծրագրի ներբեռնումից հետո սկսվում է նրա,այսպես ասած, դասական գործունեության փուլը` նա գեներացնում է ընտրված համակարգչի կոդը, սահմանում է մի քանի գաղտնագրեր,որոնք ասոցացվում են RSA-2048 ալգորիթմի հետ:Այնուհետև WannaCry ծրագիրն սկսում է մուտքագրել որոնման համակարգի օգտվողների համար ֆայլերի որոշակի տեսակներ, որոնք հետեգա գործունեության համար դառնում է անձեռնմխելի: Յուրաքանչյուր ընտրված ֆայլ կոդավորվում է RSA-բանալիով սահմանված բաց կոդով,որն էլ իր հերթին ասոցացվում էAES-128-CBC ունիկալ կամ պատահական անհատական կոդերով: Սրանք էլ իրենց հերթին կոդավորվում են RSA-բացվող բանալիով վարակված համակարգով և պահպանվում է կոդավորված ֆայլի վերնագրի բաժնում:Այդ դեպքում յուրաքանչյուր կոդավորված ֆայլի կցվում է .wncry ընդլայնում: որոշակի քանակլությամբ RSA բանալիներ տեղակայվելուց հետո հղում են ուղարկում դեպի ղեկավարման սերվեր, գրանցվում է Tor համակարգում, որից հետո էլ վարակված ֆայլերի բոլոր գաղտնագրերը ջնջվում են:Ավարտելով կոդավորման գործընթացը` ծրագիրը էկրանին արտապատկերում է պատուհան, պահանջելով փոխանցել սահմանված գումարը` биткоинах ձևով, որը համարժեք է 300 ԱՄՆ դոլլարին:Այս գործընթացը պետք է իրականացվի երեք օրվա ընթացքում, գումարը պետք է փոխանցվի նշված զամբյուղի մեջ:Եթո փոխանցումը ժամանակին չկատարվի, ապա գումարն ավտոման կրկնապատկվում է: Յոթերորդ օրը, եթե դեռ WannaCry վնասակար ծրագիրը չի հեռացվել ինֆորմացիոն համակարգից, ապա կոդավորված ֆայլերը ոչնչանում են[^[9]: Հաղորդագրությունն արտածվում է համակարգչի գրանցված լեզվով, բայց իրականում ներգրաված են ընդամենը 28 լեզուներ: Այս վնասակար ծրագիրը զուգահեռաբար վնասում է թե' լոկալ ցանցին միացված համակարգիչները և թե' համացանցի կամայական հասցեներ^[10]:

Ծանոթագրություններ

[1] Guidance for WannaCrypt attacks

[2] зашифровує всі файли на комп'ютері і вимагає викуп. Більше читайте тут: https://tsn.ua/nauka_it/vsesvitnya-kiberataka-virus-ohopiv-kom-yuteri-z-windows-yaki-ne-onovilisya-zmi-928600.html

[3] ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far today

[4] Decryptor ransomware appears to be spawning and this time it may not have a kill switch

[5] ransomware used in widespread attacks all over the world

[6] tnet tracker

[7] Мощная кибератака по всему миру с пятницы затронула более 150 стран

[8] worm that spreads WanaCrypt0r

[9] ttps://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99Ransom.Wannacry]

[10] Web Traffic Reputation Center

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

@@ Տող 5. / Տող 5. @@
 Վնասակար ծրագրի ներբեռնումից հետո սկսվում է նրա,այսպես ասած, դասական գործունեության փուլը` նա գեներացնում է ընտրված համակարգչի կոդը, սահմանում է  մի քանի գաղտնագրեր,որոնք ասոցացվում են   RSA-2048 ալգորիթմի հետ:Այնուհետև WannaCry ծրագիրն սկսում է մուտքագրել որոնման համակարգի օգտվողների համար ֆայլերի որոշակի տեսակներ, որոնք հետեգա գործունեության համար դառնում է անձեռնմխելի:
 Յուրաքանչյուր ընտրված ֆայլ կոդավորվում է RSA-բանալիով սահմանված բաց կոդով,որն էլ իր հերթին ասոցացվում էAES-128-CBC ունիկալ կամ պատահական անհատական կոդերով: Սրանք էլ իրենց հերթին կոդավորվում են    RSA-բացվող բանալիով վարակված համակարգով և պահպանվում է կոդավորված ֆայլի վերնագրի բաժնում:Այդ դեպքում յուրաքանչյուր կոդավորված ֆայլի կցվում է  .wncry ընդլայնում: որոշակի քանակլությամբ  RSA բանալիներ  տեղակայվելուց հետո հղում են ուղարկում դեպի ղեկավարման սերվեր, գրանցվում է   Tor համակարգում, որից հետո էլ վարակված ֆայլերի բոլոր գաղտնագրերը ջնջվում են:Ավարտելով կոդավորման գործընթացը` ծրագիրը էկրանին արտապատկերում է պատուհան, պահանջելով փոխանցել սահմանված գումարը` биткоинах ձևով, որը համարժեք է 300 ԱՄՆ դոլլարին:Այս գործընթացը պետք է իրականացվի երեք օրվա ընթացքում, գումարը պետք է փոխանցվի նշված զամբյուղի մեջ:Եթո փոխանցումը ժամանակին չկատարվի, ապա գումարն ավտոման կրկնապատկվում է: Յոթերորդ օրը, եթե դեռ  WannaCry վնասակար ծրագիրը չի հեռացվել ինֆորմացիոն համակարգից, ապա կոդավորված ֆայլերը ոչնչանում են[<ref>https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99Ransom.Wannacry]</ref>: Հաղորդագրությունն արտածվում է համակարգչի գրանցված լեզվով, բայց իրականում ներգրաված են ընդամենը 28 լեզուներ: Այս վնասակար ծրագիրը զուգահեռաբար վնասում է թե' լոկալ ցանցին միացված համակարգիչները և թե' համացանցի կամայական հասցեներ<ref>[https://www.talosintelligence.com/reputationEmail and Web Traffic Reputation Center]</ref>:
+[[Պատկեր:Countries initially affected in WannaCry ransomware attack.png|ձախ|300px|Երկրներ, որտեղ վիրուսը ներգործել է,  WannaCry]]
 == Ծանոթագրություններ ==