PETYA.A RANSOMWARE ON A REAL PC! (download link)
Inhoudsopgave:
Petya Ransomware / Wiper veroorzaakt ravage in Europa en een glimp van de infectie werd voor het eerst gezien in Oekraïne toen meer dan 12.500 machines kwamen in gevaar. Het ergste was dat de infecties zich ook hadden verspreid naar België, Brazilië, India en de Verenigde Staten. De Petya heeft wormcapaciteiten waardoor deze zich lateraal over het netwerk kan verspreiden. Microsoft heeft een richtlijn uitgegeven voor de aanpak van Petya, Petya Ransomware / Wiper
Na de verspreiding van de initiële infectie, heeft Microsoft nu het bewijs dat enkele van de actieve infecties van de ransomware voor het eerst werden waargenomen van de legitieme MEDoc update-proces. Dit maakte het een duidelijk geval van software supply chain-aanvallen die vrij algemeen zijn geworden met de aanvallers, omdat het een verdediging van een zeer hoog niveau vereist.
De afbeelding hieronder laat zien hoe het proces Evit.exe van de MEDoc de volgende opdracht uitvoerde lijn, Interessant vergelijkbare vector werd ook genoemd door de Oekraïne Cyber Police in de openbare lijst van indicatoren van een compromis. Dat gezegd hebbende, is de Petya in staat
Aanmeldgegevens te stelen en gebruik te maken van de actieve sessies
- Bestaande schadelijke bestanden overbrengen over machines met behulp van de services voor het delen van bestanden
- Misbruik van SMB-kwetsbaarheden in het geval van niet-gepatchte machines.
- Mechanisme voor laterale bewegingen met behulp van diefstal en imitatie van identiteitsdocumenten gebeurt
Het begint allemaal met de Petya die een hulpprogramma voor het verwijderen van referenties laat vallen, en dit komt zowel in 32-bits als in 64-bits varianten. Omdat gebruikers meestal inloggen met verschillende lokale accounts, is er altijd een kans dat een actieve sessie op meerdere computers wordt geopend. Gestolen inloggegevens zullen Petya helpen een basisniveau van toegang te verkrijgen.
Eenmaal gedaan, scant de Petya het lokale netwerk op geldige verbindingen op de poorten tcp / 139 en tcp / 445. Vervolgens roept het in de volgende stap subnet aan en voor elke subnetgebruiker de tcp / 139 en tcp / 445. Nadat een reactie is ontvangen, kopieert de malware het binaire bestand op de externe machine door gebruik te maken van de functie voor bestandsoverdracht en de inloggegevens die het eerder had kunnen stelen.
De psexex.exe wordt door de Ransomware van een ingesloten bron verwijderd. In de volgende stap scant het het lokale netwerk op admin $ shares en repliceert zichzelf vervolgens over het netwerk. Afgezien van inlogproblemen, probeert de malware ook uw inloggegevens te stelen door gebruik te maken van de functie CredEnumerateW om alle andere gebruikersreferenties uit het legitimatiegebruik te halen.
Versleuteling
De malware besluit het systeem te coderen afhankelijk van de malware process privilege level, en dit wordt gedaan door een XOR-gebaseerd hashing-algoritme te gebruiken dat de hash-waarden controleert en het gebruikt als een gedragsuitsluiting.
In de volgende stap schrijft de Ransomware naar de master bootrecord en stelt vervolgens om het systeem opnieuw op te starten. Bovendien gebruikt het ook de geplande takenfunctionaliteit om de machine na 10 minuten uit te schakelen. Nu toont Petya een nep-foutbericht gevolgd door een daadwerkelijk losgeldbericht, zoals hieronder wordt weergegeven.
De Ransomware probeert dan alle bestanden met verschillende extensies op alle schijven te coderen, behalve voor C: Windows. De gegenereerde AES-sleutel is per vaste schijf en deze wordt geëxporteerd en gebruikt de ingesloten 2048-bits RSA-openbare sleutel van de aanvaller, zegt Microsoft.
Seattle PI gaat online <<> 146-jaar oude Post-Intelligencer switcht naar een elektronische editie, waardoor Seattle dagelijks één afdruk achterlaat van economische tegenspoed. De oudste krant van Seattle verbindt zich tot cyberspace met een online-only-operatie, en kondigt vandaag aan dat het zijn gedrukte editie met de editie van 17 maart zal staken en de eerste Amerikaanse metro wordt die dagelijks naar een online-publicatie gaat.
De Seattle Post-Intelligencer, bekend als de PI, heeft al een levendige online-editie met tientallen lezersblogs en enkele geschreven door de columnisten en redacteuren van de krant. Het heeft jarenlang online uitgebreid uitgebreid met multimedia en forums. De metamorfose naar online-only is een experiment van eigenaar Hearst Corporation, die in januari aankondigde dat de PI geld verliest en te koop staat.
Dit verlaat Seattle met de dagelijkse Seattle Times, die
Siemens: Duitse klant getroffen door industriële worm bevestigde dinsdag dat een van zijn Duitse klanten is getroffen door een nieuwe worm die is ontworpen om geheimen te stelen van industriële besturingssystemen. Siemens bevestigde dinsdag dat een van zijn klanten is getroffen door een nieuwe worm die is ontworpen om geheimen te stelen van industriële besturingssystemen. Tot op heden is het bedrijf op de hoogte gebracht van één aanval op een Duitse fabrikant dat Siemens weigerde te id
De worm, Stuxnet genaamd, werd vorige maand voor het eerst gezien toen het systemen infecteerde bij een niet-geïdentificeerde Iraanse organisatie, volgens Sergey Ulasen, hoofd van het antivirusprogramma. kernelafdeling bij VirusBlokAda, in Minsk, Wit-Rusland. Het niet-geïdentificeerde slachtoffer, dat geen eigenaar is van het type SCADA-systeem (toezichtcontrole en gegevensverzameling) dat door de worm wordt getarget, "vertelde ons dat hun werkstations serieel opnieuw werden opgestart zonder eni
Een oude pc voorbereiden voor een nieuwe eigenaar
James R. Miller heeft een nieuwe computer en zal zijn oude computer schenken. Hij vroeg om advies over het voorbereiden van zijn oude pc op de overgang.