Petya Ransomware / Wiper modus operandi je staré víno v nové láhvi

Petya Ransomware / Wiper vytváří zmatek v Evropě a pohled na infekci byl poprvé viděn na Ukrajině, když více než Bylo ohroženo 12 500 strojů. Nejhorší část byla, že infekce se rozšířily také do Belgie, Brazílie, Indie a také do Spojených států. Petya má schopnosti červa, které mu umožní šíření bočně po celé síti. Společnost Microsoft vydala pokyny, jak se bude zabývat společností Petya

Petya Ransomware / Wiper

Po rozšíření počáteční infekce má společnost Microsoft nyní důkaz, že několik aktivních infekcí ransomware bylo poprvé pozorováno legitimní Aktualizace procesu MEDoc. To z něj činilo jasný případ útoků softwarových dodavatelských řetězců, které se s útočníky staly velmi běžnými, protože potřebují velmi vysokou úroveň ochrany.

Výše ​​uvedený obrázek ukazuje, jak proces Evit.exe z MEDoc provedl následující příkaz line, zajímavý podobný vektor byl také uveden Ukrajinskou kybernetickou policií ve veřejném seznamu ukazatelů kompromisu. To znamená, že Petya je schopna

• Kritizovat pověření a využívat aktivní relace
• Přenos škodlivých souborů mezi počítače pomocí služeb sdílení souborů
• Zneužití slabých SMB v případě neopravených počítačů

Mechanismus bočního pohybu s použitím krádeže pověsti a zosobnění se stává

Vše začíná s nástrojem Petya, který zrušuje nástroj pro získání pověření, a to je v obou variantách 32bitových i 64bitových. Protože se uživatelé obvykle přihlašují pomocí několika lokálních účtů, vždy existuje šance, že jedna z aktivních relací bude otevřena na více strojích. Ukradené pověření pomohou společnosti Petya získat základní úroveň přístupu.

Jakmile provedete, Petya prohledá místní síť platných připojení na portech tcp / 139 a tcp / 445. Potom v dalším kroku volá podsítě a pro všechny uživatele podsítě tcp / 139 a tcp / 445. Po získání odpovědi bude malware kopírovat binární soubor na vzdáleném počítači pomocí funkce přenosu souborů a pověření, která se jí dříve podařilo ukrást.

Psexex.exe je vynechán Ransomware z vloženého prostředku. V dalším kroku skenuje místní síť pro sdílené položky admin $ a potom se replikuje v síti. Kromě problému s pověřením se malware pokouší ukrást vaše pověření pomocí funkce CredEnumerateW, aby získal všechny ostatní pověření uživatele z úložiště pověření.

Šifrování

Malware se rozhodne šifrovat systém v závislosti na úroveň škodlivého procesu, a to je prováděno algoritmem hashování založeným na XOR, který kontroluje hodnoty hash a používá jej jako vyloučení chování.

V dalším kroku Ransomware zapíše do hlavního spouštěcího záznamu a poté nastaví až se systém restartuje. Navíc také používá funkčnost naplánovaných úloh k vypnutí zařízení po 10 minutách. Nyní Petya zobrazí falešnou chybovou zprávu, po níž následuje skutečná zpráva Ransom, jak je znázorněno níže.

Ransomware se pokusí zašifrovat všechny soubory s různými příponami na všech jednotkách kromě C: Windows. Vygenerovaný klíč AES je na pevné disky a toto je exportováno a používá vestavěný 2048-bitový veřejný klíč RSA útočníka, říká Microsoft.