UIWIX как последователь WannaCry. Патриотизм или киберподстава?⁠⁠

Тема с WannaCry уже настолько замусолила новости, что специалисты по ИБ от нее начинают морщиться и закатывать глаза, как Тони Старк. А вирусописатели - нет.

Специалисты TrendMicro обнаружили новый вирус-шифровальщик UIWIX, который использует те же уязвимости, что и WannaCry. Но есть определенные отличия. Ниже приводится табличка, которая говорит о том, что создатели учли ошибки WannaCry и несколько модернизировали механизм. Теперь и шифрует, и пароли крадет, и кошельки разные требует, и ближе к народу стал, снизив цену выкупа в полтора раза. Радует только то, что на фоне лихорадки WannaCry пропатчились даже те, кто не патчился уже давно.

В таблице показаны различия WannaCry и UIWIX.

Интересует выделенное желтым, особенно механизм верификации. Все помнят версии Conficker, которые пытались приписать России и Украине, но тогда не было так модно валить все на русских хакеров, больше на китайских. Одна из модификаций при наличии украинской раскладки уничтожала сама себя, за что и подумали на Украину. Подумали - и забыли, потому что другим версиям геолокация была не столь принципиальна и Украина тоже немало повозилась с дезинфекцией.

Здесь же пишут, что определяется любая из трех стран RU, BY, KZ. Как однозначно происходит идентификация - не знаю. Вопрос задал по ссылке на TrendMicro, подождем ответа.

Если пофантазировать:

- По наличию русской раскладки на ПК не вариант - она во всех странах СНГ есть.

- По IP. Адрес ПК не всегда белый, особенно корпоративный. Тогда нужно сверяться с некой базой. С собой ее носить не будешь - объем велик. Подключаться проверять - проявлять лишнюю активность, демаскирующий фактор.

- Ваш вариант.

А самое главное - зачем выбраны именно эти страны? Варианты:

- Эксперты TrendMicro слишком обобщили, не проверив остальные страны либо загрубив признаки.

- Чтобы было проще списать на русских хакеров либо Таможенный союз ЕврАзЭС. В последнем варианте забыли добавить Армению и Киргизию.

- Русские (ТС ЕАЭС) хакеры реально существуют, пишут вирусы, не берегут себя, и патриотизм их выдает.

- Ваш вариант.

http://www.securitylab.ru/blog/personal/aodugin/341866.php

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (использует EternalBlue SMB Exploit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

UIWIX выполняется в памяти после использования эксплойта EternalBlue. При обнаружении виртуальной машины (Vmware, VirtualBox, Virtual PC и др.) или песочницы (Sunbelt Sandbox, Sandboxie, Cuckoo Sandbox) прекращает свое выполнение. Также прекращает работу, если IP компьютера принадлежит России, Беларуси или Казахстану. Имеет функционал сбора учетных данных из браузера, из FTP, email и мессенджеров.

Для каждой жертвы указывается новый Bitcoin-кошелёк.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

_DECODE_FILES.txt

<random>.exe

mini-tor.dll

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

***07.super5566.com*** - C&C-сервер

***aa1.super5566.com*** - C&C-сервер

xxxxs://4ujngbdqqm6t2c53.onion.to

xxxxs://4ujngbdqqm6t2c53.onion.cab

xxxxs://4ujngbdqqm6t2c53.onion.nu

xxxx://4ujngbdqqm6t2c53.onion.to

xxxx://4ujngbdqqm6t2c53.onion.cab

xxxx://4ujngbdqqm6t2c53.onion

xxxxs://netcologne.dl.sourceforge.net/project/cyqlite/3.8.5/sqlite-dll-win32-x86-3080500.zip

xxxx://sqlite.org/2014/sqlite-dll-win32-x86-3080500.zip

См. ниже результаты анализов.

Анализ:

https://www.hybrid-analysis.com/sample/146581f0b3fbe00026ee3...

https://www.virustotal.com/ru/file/146581f0b3fbe00026ee3ebe6...

На всякий случай добавил тег "Политика"