Petya Ransomware / Pyyhkimen modus operandi on vanha viini uudessa pullossa

Petya Ransomware / Wiper on tuhoa Euroopassa ja vakoilu infektiosta nähtiin ensimmäisen kerran Ukrainassa, kun yli 12 500 koneet vaarantuivat. Pahinta oli se, että infektiot olivat levinneet myös Belgiaan, Brasiliaan, Intiaan ja myös Yhdysvaltoihin. Petyassa on mato-ominaisuuksia, joiden ansiosta se voi levitä sivuttain verkon yli. Microsoft on julkaissut ohjeet siitä, miten se käsittelee Petyaa, Petya Ransomware / Wiper

Alkuperäisen tartunnan leviämisen jälkeen Microsoftilla on nyt näyttöä siitä, että muutamia ransomware-ohjelman aktiivisista infektioista havaittiin ensin laillisesta MEDoc -päivitysprosessi. Tämä teki selkeän tapauksen ohjelmistoketjuketjun hyökkäyksistä, joka on tullut melko yleiseksi hyökkääjien kanssa, koska se tarvitsee erittäin korkean tason.

Alla oleva kuva osoittaa kuinka Evit.exe-prosessi MEDocista suoritti seuraavan komennon line, Mielenkiintoisen samanlainen vektori mainittiin myös Ukrainan Cyber ​​Police -pelissä julkisen luettelon kompromissin indikaattoreista. Petya kykenee

varastaa käyttöoikeudet ja käyttää aktiivisia istuntoja

• Haitallisten tiedostojen siirtäminen koneiden kautta tiedostojen jakamispalvelujen avulla
• SMB-haavoittuvuuksien väärinkäyttäminen epäonnistuneiden koneiden tapauksessa
• Sivuttaisliikkeen mekanismi, joka käyttää varmenteiden tunnistamista ja esiintyvyyttä, tapahtuu

Kaikki alkaa siitä, että Petya pudottaa tunnistetietojen polkumyyntityökalun, ja tämä tulee sekä 32- että 64-bittisiin versioihin. Koska käyttäjät kirjautuvat yleensä useisiin paikallisiin tileihin, on aina mahdollista, että yksi aktiivisesta istunnosta avautuu useille koneille. Varastetut valtakirjat auttavat Petyaa saavuttamaan perusaseman.

Kun olet tehnyt, Petya etsii paikallisverkon voimassa olevista yhteyksistä portit tcp / 139 ja tcp / 445. Seuraavassa vaiheessa se pyytää aliverkkoa ja jokaiselle aliverkon käyttäjälle tcp / 139 ja tcp / 445. Kun vastaus on saatu, haittaohjelma kopioi binaarin etäkoneeseen käyttämällä tiedostojen siirtoominaisuutta ja aiemmin onnistuneesti varastettuja tunnistetietoja.

Ransomware sulkee psexex.exe-sovelluksen sulautetusta resurssista. Seuraavassa vaiheessa se etsii paikallisen verkon admin-$ -osioille ja sitten toistaa itsensä verkon kautta. Esiintymispolkumyynnin lisäksi haittaohjelmat yrittävät myös varastaa valtakirjansa käyttämällä CredEnumerateW-toimintoa saadakseen kaikki muut käyttäjän tunnistetiedot tallennusvarastosta.

Salaus

Haittaohjelma päättää salaa järjestelmää riippuen haittaohjelman prosessin etuoikeustaso, ja tämä tehdään käyttämällä XOR-pohjaista hajautusalgoritmia, joka tarkistaa hajautusarvoja vastaan ​​ja käyttää sitä käyttäytymisen poissulkemisena.

Seuraavassa vaiheessa Ransomware kirjoittaa pääkäynnistystietueeseen ja asettaa sitten käynnistä järjestelmä uudelleen. Lisäksi se käyttää aikataulun mukaisia ​​tehtäviä, jotta kone sammuu 10 minuutin kuluttua. Nyt Petya näyttää väärennetyn virhesanoman, jota seuraa todellinen Ransom-viesti kuten alla.

Ransomware yrittää sitten salata kaikki tiedostot, joilla on eri laajennukset kaikissa asemissa paitsi C: Windows. AES-avain on kiinteä asema, ja se viedään ja käyttää hyökkääjän sulautettua 2048-bittistä RSA-julkista avainta, sanoo Microsoft.