В конце прошлой недели мир накрыла волна кибератак с использованием вымогательского ПО WannaCry. Распространение вредоноса было остановлено, однако последовать примеру WannaCry для других киберпреступников – лишь вопрос времени. К примеру, эксперты Trend Micro уже обнаружили новое вымогательское ПО, эксплуатирующее ту же самую уязвимость, что и WannaCry.
Согласно некоторым сообщениям, UIWIX представляет собой новую, более совершенную версию WannaCry. Тем не менее, это не так, сообщают эксперты Trend Micro. По словам исследователей, UIWIX является новым семейством вредоносного ПО. Как и WannaCry, вредонос эксплуатирует уязвимость в SMB, исправленную с выходом бюллетеня безопасности MS17-010. Эксплоит для нее (EternalBlue) предположительно был в распоряжении Агентства национальной безопасности США до тех пор, пока его не опубликовали хакеры из The Shadow Brokers.
Помимо эксплуатации одной и той же уязвимости, UIWIX и WannaCry больше ничем не похожи. В отличие от WannaCry, UIWIX не использует файлы – после эксплуатации уязвимости вредонос выполняется в памяти. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО. UIWIX гораздо незаметнее, чем WannaCry. Оказавшись на виртуальной машине или в песочнице, вредонос самоуничтожается. Кроме того, функция самоуничтожения срабатывает, если вымогатель попадает на компьютер в России, Казахстане или Белоруссии.
В отличие от WannaCry, UIWIX не сохраняется на инфицированной системе после перезагрузки компьютера, и в его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов. Авторы UIWIX требуют за расшифровку файлов меньшую сумму - $200, а не $300-600.
Как показал анализ кода, UIWIX способен собирать учетные данные для авторизации в браузере, сервисах электронной почты, мессенджерах и FTP.
