Android

Petya Ransomware / Wisser`s modus operandi is oude wijn in een nieuwe fles

PETYA.A RANSOMWARE ON A REAL PC! (download link)

PETYA.A RANSOMWARE ON A REAL PC! (download link)

Inhoudsopgave:

Anonim

Petya Ransomware / Wiper veroorzaakt ravage in Europa en een glimp van de infectie werd voor het eerst gezien in Oekraïne toen meer dan 12.500 machines kwamen in gevaar. Het ergste was dat de infecties zich ook hadden verspreid naar België, Brazilië, India en de Verenigde Staten. De Petya heeft wormcapaciteiten waardoor deze zich lateraal over het netwerk kan verspreiden. Microsoft heeft een richtlijn uitgegeven voor de aanpak van Petya, Petya Ransomware / Wiper

Na de verspreiding van de initiële infectie, heeft Microsoft nu het bewijs dat enkele van de actieve infecties van de ransomware voor het eerst werden waargenomen van de legitieme MEDoc update-proces. Dit maakte het een duidelijk geval van software supply chain-aanvallen die vrij algemeen zijn geworden met de aanvallers, omdat het een verdediging van een zeer hoog niveau vereist.

De afbeelding hieronder laat zien hoe het proces Evit.exe van de MEDoc de volgende opdracht uitvoerde lijn, Interessant vergelijkbare vector werd ook genoemd door de Oekraïne Cyber ​​Police in de openbare lijst van indicatoren van een compromis. Dat gezegd hebbende, is de Petya in staat

Aanmeldgegevens te stelen en gebruik te maken van de actieve sessies

  • Bestaande schadelijke bestanden overbrengen over machines met behulp van de services voor het delen van bestanden
  • Misbruik van SMB-kwetsbaarheden in het geval van niet-gepatchte machines.
  • Mechanisme voor laterale bewegingen met behulp van diefstal en imitatie van identiteitsdocumenten gebeurt

Het begint allemaal met de Petya die een hulpprogramma voor het verwijderen van referenties laat vallen, en dit komt zowel in 32-bits als in 64-bits varianten. Omdat gebruikers meestal inloggen met verschillende lokale accounts, is er altijd een kans dat een actieve sessie op meerdere computers wordt geopend. Gestolen inloggegevens zullen Petya helpen een basisniveau van toegang te verkrijgen.

Eenmaal gedaan, scant de Petya het lokale netwerk op geldige verbindingen op de poorten tcp / 139 en tcp / 445. Vervolgens roept het in de volgende stap subnet aan en voor elke subnetgebruiker de tcp / 139 en tcp / 445. Nadat een reactie is ontvangen, kopieert de malware het binaire bestand op de externe machine door gebruik te maken van de functie voor bestandsoverdracht en de inloggegevens die het eerder had kunnen stelen.

De psexex.exe wordt door de Ransomware van een ingesloten bron verwijderd. In de volgende stap scant het het lokale netwerk op admin $ shares en repliceert zichzelf vervolgens over het netwerk. Afgezien van inlogproblemen, probeert de malware ook uw inloggegevens te stelen door gebruik te maken van de functie CredEnumerateW om alle andere gebruikersreferenties uit het legitimatiegebruik te halen.

Versleuteling

De malware besluit het systeem te coderen afhankelijk van de malware process privilege level, en dit wordt gedaan door een XOR-gebaseerd hashing-algoritme te gebruiken dat de hash-waarden controleert en het gebruikt als een gedragsuitsluiting.

In de volgende stap schrijft de Ransomware naar de master bootrecord en stelt vervolgens om het systeem opnieuw op te starten. Bovendien gebruikt het ook de geplande takenfunctionaliteit om de machine na 10 minuten uit te schakelen. Nu toont Petya een nep-foutbericht gevolgd door een daadwerkelijk losgeldbericht, zoals hieronder wordt weergegeven.

De Ransomware probeert dan alle bestanden met verschillende extensies op alle schijven te coderen, behalve voor C: Windows. De gegenereerde AES-sleutel is per vaste schijf en deze wordt geëxporteerd en gebruikt de ingesloten 2048-bits RSA-openbare sleutel van de aanvaller, zegt Microsoft.