Petya Ransomware / Stierač spôsobuje v Európe zmätok a po prvýkrát sa na Ukrajine objavil pohľad na infekciu, keď bolo ohrozených viac ako 12 500 strojov. Najhoršia časť bola, že infekcie sa rozšírili aj do Belgicka, Brazílie, Indie a tiež do Spojených štátov. Petya má červové schopnosti, ktoré jej umožnia šíriť sa bočne po celej sieti. Spoločnosť Microsoft vydala smernicu o tom, ako sa bude zaoberať spoločnosťou Petya,
Petya Ransomware / Stierač
Po rozšírení počiatočnej infekcie má teraz spoločnosť Microsoft dôkaz, že niekoľko aktívnych infekcií ransomware bolo prvýkrát pozorované z legitímneho procesu aktualizácie MEDoc. To sa stalo jasným prípadom útokov softvérových dodávateľských reťazcov, ktoré sa stávajú bežnými s útočníkmi, pretože potrebujú obranu na veľmi vysokej úrovni.
Vyššie uvedený obrázok ukazuje, ako proces Evit.exe z MEDocu vykonal nasledujúci príkazový riadok. Zaujímavosťou podobný vektor spomenul aj ukrajinská kybernetická polícia vo verejnom zozname indikátorov kompromisu. To je povedané, že Petya je schopná
- Kradnúť poverenia a využívať aktívne relácie
- Prenos škodlivých súborov medzi počítačmi pomocou služieb zdieľania súborov
- Zneužívanie zraniteľnosti SMB v prípade neopracovaných strojov.
Mechanizmus bočného pohybu, ktorý používa krádež povesti a zosobnenie, sa deje
Všetko začína s nástrojom Petya na odstránenie poverenia a ide o 32-bitové aj 64-bitové varianty. Keďže sa používatelia zvyčajne prihlasujú s niekoľkými miestnymi účtami, vždy existuje šanca, že jedna aktívna relácia bude otvorená na viacerých počítačoch. Odcudzené poverenia pomôžu spoločnosti Petya získať základnú úroveň prístupu.
Po vykonaní testu Petya skenuje lokálnu sieť pre platné pripojenia na portoch tcp / 139 a tcp / 445. Potom v ďalšom kroku volá podsiete a pre všetkých používateľov podsiete tcp / 139 a tcp / 445. Po získaní odpovede sa škodlivý softvér na vzdialenom počítači skopíruje pomocou funkcie prenosu súborov a poverení, ktoré sa mu predtým podarilo ukradnúť.
Program psexex.exe je vyňatý zo softvéru Ransomware z vloženého prostriedku. V ďalšom kroku skenuje lokálnu sieť pre zdieľanie admin $ a potom sa replikuje cez sieť. Okrem akvakultúry sa škodlivý softvér pokúša ukradnúť vaše poverenia použitím funkcie CredEnumerateW, aby získal všetky ostatné poverenia používateľa z úložiska poverení.
šifrovanie
Škodlivý softvér sa rozhodne šifrovať systém v závislosti od úrovne privilégií škodlivého softvéru, čo sa deje pomocou algoritmu hashing založeného na XOR, ktorý kontroluje hodnoty hash a používa ho ako vylučovanie správania.
V ďalšom kroku Ransomware zapíše do hlavného zavádzacieho záznamu a potom nastaví systém na reštartovanie. Okrem toho funkciu plánovaných úloh používa aj na vypnutie zariadenia po 10 minútach. Teraz Petya zobrazí falošnú chybovú správu nasledovanú aktuálnou správou Ransom, ako je uvedené nižšie.
