Petya Ransomeware / Wiper в Европе создаёт хаос, и в Украине впервые увидели заражение, когда было скомпрометировано более 12 500 машин. Хуже всего то, что инфекции также распространились на Бельгию, Бразилию, Индию и Соединенные Штаты. У Пети есть возможности червя, которые позволят ему распространяться поперек сети. Microsoft выпустила руководство о том, как он будет заниматься Пети,
Petya Ransomeware / Wiper
После распространения первоначальной инфекции у Microsoft теперь есть доказательства того, что некоторые из активных инфекций выкупа были впервые обнаружены из законного процесса обновления MEDOC. Это сделало его очевидным случаем атаки цепочки поставок программного обеспечения, которая стала довольно распространенной с атакующими, поскольку для нее требуется защита очень высокого уровня.
На рисунке ниже показано, как процесс Evit.exe из MEDoc выполнил следующую командную строку. Интересный аналогичный вектор также упоминался киберполицией Украины в открытом списке показателей компромисса. При этом Петя способен
- Кража учетных данных и использование активных сеансов
- Передача вредоносных файлов через компьютеры с помощью служб обмена файлами
- Нарушение уязвимостей SMB в случае незагруженных машин.
Механизм бокового перемещения, использующий кражи учетных данных и олицетворение
Все начинается с того, что Petya удаляет инструмент сброса учетных данных, и это происходит как в 32-битных, так и в 64-битных вариантах. Поскольку пользователи обычно входят в систему с несколькими локальными учетными записями, всегда есть шанс, что один из активных сеансов будет открыт на нескольких компьютерах. Украденные учетные данные помогут Пете получить базовый уровень доступа.
После выполнения Petya сканирует локальную сеть для действительных соединений на портах tcp / 139 и tcp / 445. Затем на следующем шаге он вызывает подсеть и для каждого пользователя подсети - tcp / 139 и tcp / 445. После получения ответа вредоносное ПО затем скопирует двоичный файл на удаленном компьютере, используя функцию передачи файлов, и учетные данные, которые он ранее успел украсть.
Psexex.exe удаляется Ransomware из встроенного ресурса. На следующем шаге он сканирует локальную сеть для $ share и затем реплицирует себя по сети. Помимо сброса учетных данных, вредоносное ПО также пытается украсть ваши учетные данные, используя функцию CredEnumerateW, чтобы получить все другие учетные данные пользователя из хранилища учетных данных.
шифрование
Вредоносная программа решает зашифровать систему в зависимости от уровня привилегий процесса вредоносного ПО, и это делается с использованием алгоритма хеширования на основе XOR, который проверяет хэш-значения и использует его как исключение поведения.
На следующем этапе Ransomware записывает основную загрузочную запись, а затем настраивает систему для перезагрузки. Кроме того, он также использует функции запланированных задач для завершения работы машины через 10 минут. Теперь Petya отображает ложное сообщение об ошибке, за которым следует фактическое сообщение Ransom, как показано ниже.