Petya Ransomware / modus operandi Wipera to stare wino w nowej butelce

Petya Ransomware / Wiper tworzy spustoszenie w Europie, a przebłyski infekcji po raz pierwszy pojawiły się na Ukrainie, gdy 12 500 maszyn zostało naruszonych. Najgorsze było to, że infekcje rozprzestrzeniły się także do Belgii, Brazylii, Indii, a także Stanów Zjednoczonych. Petya ma możliwości robaka, które pozwolą mu rozprzestrzenić się w poprzek sieci. Firma Microsoft wydała wytyczne dotyczące sposobu rozwiązania problemu Petya, Petya Ransomware / Wiper

Po rozprzestrzenianiu się początkowej infekcji Microsoft ma teraz dowody na to, że kilka aktywnych infekcji oprogramowania ransomware zostało po raz pierwszy zaobserwowanych w legalnym systemie. Proces aktualizacji MEDoc. Stało się to oczywistym przypadkiem ataków na łańcuch dostaw oprogramowania, który stał się dość powszechny wśród atakujących, ponieważ wymaga obrony na bardzo wysokim poziomie.

Poniższy rysunek pokazuje, jak proces Evit.exe z MEDoc wykonał następujące polecenie linia, Ciekawie podobny wektor został również wymieniony przez ukraińską Cyberpolitykę na publicznej liście wskaźników kompromisu. Mając to na uwadze, Petya może

Kradzież danych uwierzytelniających i korzystanie z aktywnych sesji

• Przenoszenie złośliwych plików pomiędzy komputerami za pomocą usług udostępniania plików
• Nadużycie luk SMB w przypadku niezałatanych komputerów
• Mechanizm ruchu bocznego wykorzystujący kradzież danych uwierzytelniających i personifikacja

Wszystko zaczyna się od odrzucenia Petya narzędzia do usuwania poświadczeń, które występuje zarówno w wersjach 32-bitowych, jak i 64-bitowych. Ponieważ użytkownicy zwykle logują się z kilkoma kontami lokalnymi, zawsze istnieje szansa, że ​​jedna z aktywnych sesji będzie otwarta na wielu komputerach. Skradzione dane uwierzytelniające pomogą Petya uzyskać podstawowy poziom dostępu.

Po wykonaniu tej czynności Petya skanuje sieć lokalną pod kątem poprawnych połączeń na portach tcp / 139 i tcp / 445. Następnie w następnym kroku wywołuje podsieć i dla każdej podsieci użytkowników tcp / 139 i tcp / 445. Po otrzymaniu odpowiedzi szkodliwe oprogramowanie skopiuje plik binarny na zdalnym komputerze, korzystając z funkcji przesyłania plików i poświadczeń, które wcześniej udało mu się ukraść.

Plik psexex.exe jest usuwany przez program Ransomware z osadzonego zasobu. W następnym kroku skanuje sieć lokalną pod kątem udziałów administratora, a następnie replikuje się w sieci. Oprócz dumpingu poświadczeń, złośliwe oprogramowanie próbuje również wykraść twoje referencje za pomocą funkcji CredEnumerateW, aby uzyskać wszystkie poświadczenia użytkownika z magazynu danych uwierzytelniających.

Szyfrowanie

Złośliwe oprogramowanie decyduje się na zaszyfrowanie systemu w zależności od poziom uprawnień do obsługi złośliwego oprogramowania, a odbywa się to za pomocą algorytmu mieszającego opartego na XOR, który sprawdza wartości mieszające i używa ich jako wykluczenia zachowania.

W następnym kroku Ransomware zapisuje do głównego rekordu rozruchowego, a następnie ustawia do systemu, aby się zrestartować. Ponadto wykorzystuje także funkcje zaplanowanych zadań do wyłączenia urządzenia po 10 minutach. Teraz Petya wyświetla fałszywy komunikat o błędzie, po którym następuje aktualny komunikat o Ransom, jak pokazano poniżej.

Program Ransomware będzie próbował zaszyfrować wszystkie pliki z różnymi rozszerzeniami na wszystkich dyskach z wyjątkiem C: Windows. Wygenerowany klucz AES jest dla stałego dysku, a to zostaje wyeksportowane i wykorzystuje wbudowany 2048-bitowy klucz publiczny RSA atakującego, mówi Microsoft.