The Petya Ransomware / Wiper Eiropā ir radījusi satricinājumu, un Ukrainā pirmo reizi tika novērota infekcijas ieskats, kad tika apdraudēti vairāk nekā 12 500 mehānismi. Sliktākais bija tas, ka infekcijas izplatījās arī Beļģijā, Brazīlijā, Indijā un arī Amerikas Savienotajās Valstīs. Petya ir tārpa spējas, kas to var izplatīt sāniski visā tīklā. Microsoft ir izdevusi vadlīniju par to, kā tas atrisinās Petjas,
Petya Ransomware / Wiper
Pēc sākotnējās infekcijas izplatīšanās, Microsoft tagad ir pierādījumi, ka daži aktīvās ransomware infekcijas pirmoreiz tika novērotas no likumīgā MEDOC atjaunināšanas procesa. Tas padarīja to par skaidru gadījumu programmatūras piegādes ķēdes uzbrukumiem, kas kļuvuši diezgan izplatīti ar uzbrucējiem, jo tai nepieciešama ļoti augsta līmeņa aizsardzība.
Attēlā, kas redzams augšpusē, parādīts, kā Evoc.exe process no MEDOC izpildīja šādu komandrindu. Interesanti līdzīgi vektori tika minēti arī Ukrainas kibernolikumā publiskā kompromisa rādītāju sarakstā. To var teikt, ka Petijs ir spējīgs
- Akreditācijas datu zādzība un aktīvo sesiju izmantošana
- Ļaunprātīgu failu pārsūtīšana uz visām mašīnām, izmantojot failu apmaiņas pakalpojumus
- Ļaunprātīga SMB neaizsargātība nepasūtītās mašīnas gadījumā.
Sānu kustības mehānisms, kas izmanto zādzību un izlikšanos
Viss sākas ar Petju, kurš izlaida akreditācijas dempinga rīku, un tas ir gan 32 bitu, gan 64 bitu variantos. Tā kā lietotāji parasti piesakās vairākos vietējos kontos, vienmēr pastāv iespēja, ka aktīva sesija būs atvērta vairākās iekārtās. Zaudētie akreditācijas dati palīdzēs Petjai iegūt pamata piekļuves līmeni.
Kad tas ir izdarīts, Petya skenē vietējo tīklu par derīgiem pieslēgumiem porcijās tcp / 139 un tcp / 445. Tad nākamajā solī tas aicina apakštīklu un katram apakštīkla lietotājiem tcp / 139 un tcp / 445. Pēc tam, kad saņemat atbildi, ļaunprogramma nokopē bināro tālvadības iekārtu, izmantojot failu pārsūtīšanas funkciju un akreditācijas datus, kurus tā agrāk ir spējusi nozagt.
Ransomware no iegultā resursa nokrīt psexex.exe. Nākamajā solī tas skenē lokālo tīklu par admin $ shares un pēc tam atkārtojas pa tīklu. Papildus pilnvaru dempingam ļaunprogramma mēģina nozagt jūsu akreditācijas datus, izmantojot CredEnumerateW funkciju, lai iegūtu visus citus lietotāja akreditācijas datus no credential veikala.
Šifrēšana
Ļaunprātīga programmatūra nolemj šifrēt sistēmu atkarībā no ļaunprogrammatūras procesa privilēģiju līmeņa, un to dara, izmantojot XOR balstītu maiņas algoritmu, kas pārbauda maiņas vērtības un izmanto to kā izturēšanos darbā.
Nākamajā solī Ransomware raksta galveno boot ierakstu un pēc tam izveido sistēmu, lai restartētu. Turklāt, tā arī izmanto uzdevumu plānošanas uzdevumus, lai izslēgtu iekārtu pēc 10 minūtēm. Tagad Petya parāda nepareizu kļūdas ziņojumu, kam seko faktiskā Ransom ziņa, kā parādīts zemāk.