Petya Ransomeware / Wiper`s modus operandi - старое вино в новой бутылке

Petya Ransomeware / Wiper создает хаос в Европе, и проблеск заражения впервые был замечен в Украине, когда больше, чем Было скомпрометировано 12 500 машин. Хуже всего то, что инфекции также распространились на Бельгию, Бразилию, Индию и Соединенные Штаты. У Пети есть возможности червя, которые позволят ему распространяться поперек сети. Microsoft выпустила руководство о том, как он будет заниматься Petya, Petya Ransomeware / Wiper

После распространения первичной инфекции Microsoft теперь имеет доказательства того, что некоторые из активных инфекций выкупа были впервые обнаружены у законных Процесс обновления MEDOC. Это стало очевидным случаем атаки цепочки поставок программного обеспечения, которая стала довольно распространенной среди злоумышленников, так как она нуждается в защите очень высокого уровня.

На рисунке ниже показано, как процесс Evit.exe из MEDoc выполнил следующую команду лайн. Интересно, что подобный вектор также упоминался киберполицией Украины в открытом списке показателей компромисса. При этом Petya способен

кражи учетных данных и использования активных сеансов

• Перенос вредоносных файлов на компьютеры с помощью служб обмена файлами
• Нарушение уязвимостей SMB в случае незагруженных машин.
• Механизм бокового перемещения, использующий кражи учетных данных и олицетворение происходит

Все начинается с того, что Petya удаляет инструмент сброса учетных данных, и это происходит как в 32-битных, так и в 64-битных вариантах. Поскольку пользователи обычно входят в систему с несколькими локальными учетными записями, всегда есть шанс, что один из активных сеансов будет открыт на нескольких компьютерах. Украденные учетные данные помогут Petya получить базовый уровень доступа.

После выполнения Petya сканирует локальную сеть на наличие действительных подключений на портах tcp / 139 и tcp / 445. Затем на следующем шаге он вызывает подсеть и для каждого пользователя подсети - tcp / 139 и tcp / 445. После получения ответа вредоносное ПО затем скопирует двоичный файл на удаленном компьютере, используя функцию передачи файлов, и учетные данные, которые ему ранее удалось украсть.

psexex.exe удаляется Ransomware из встроенного ресурса, На следующем шаге он сканирует локальную сеть для $ share и затем реплицирует себя по сети. Помимо сброса учетных данных, вредоносное ПО также пытается украсть ваши учетные данные, используя функцию CredEnumerateW, чтобы получить все другие учетные данные пользователя из хранилища учетных данных.

Шифрование

Вредоносная программа решает зашифровать систему в зависимости от уровень привилегий вредоносного процесса, и это делается с использованием алгоритма хэширования на основе XOR, который проверяет значения хэша и использует его как исключение поведения.

На следующем этапе Ransomware записывает в главную загрузочную запись, а затем устанавливает чтобы перезагрузить систему. Кроме того, он также использует функции запланированных задач для завершения работы машины через 10 минут. Теперь Petya отображает ложное сообщение об ошибке, за которым следует фактическое сообщение Ransom, как показано ниже.

Затем Ransomware попытается зашифровать все файлы с разными расширениями на всех дисках, кроме C: Windows. Microsoft выпустила ключ AES для фиксированного диска, и он экспортируется и использует встроенный 2048-разрядный открытый ключ RSA для злоумышленника, сообщает Microsoft.