Выяснилось, что шифровальщик WannaCry стал не единственной вредоносной программой, которая использует уязвимость в протоколе SMB и применяет эксплоиты DOUBLEPULSAR и ETERNALBLUE, украденные у Агентства Национальной Безопасности США.
Эксперты Proofpoint нашли программу Adylkuzz, которая занимается майнингом криптовалюты Monero. Специалисты считают, что вредоносная программа пользуется таким же механизмом распространения, как и WannaCry. Так, Adylkuzz осуществляет сканирование SMB-портов, пользуется эксплоитом ETERNALBLUE и инфицирует уязвимые системы скрытно от пользователей с помощью DOUBLEPULSAR.
Эксперты выразили уверенность, что Adylkuzz была запущена раньше WannaCry: не позже 2 мая 2017 года. К Adylkuzz не было обращено столько внимания, как к WannaCry, лишь по причине того, что выявить факт заражения в данном случае намного тяжелее. Единственное, что может вызвать подозрение пострадавшего, – это замедление работы компьютера, поскольку майнер занимает системные ресурсы для своих целей. Как утверждают эксперты, операторы вредоносной программы уже получили с ее помощью 43000 долларов. Точно неизвестно, сколько устройств было заражено Adylkuzz.
Специалисты подчеркивают, что программа Adylkuzz «защитила» зараженные ею устройства от активности WannaCry. При проникновении в систему майнер устраняет уязвимость в протоколе SMB и не дает другой программе воспользоваться ею.
Эксперты советуют всем пользователям Windows оперативно установить патч для уязвимости в SMB и закрыть порт 445.
