Най- Petya Ransomware / чистачки създава хаос в Европа, а за пръв път в Украйна се забелязва зрението на инфекцията, когато бяха компрометирани повече от 12 500 машини. Най-лошата част е, че инфекциите са се разпространили и в Белгия, Бразилия, Индия и Съединените щати. Петя има червей способности, които ще му позволят да се разпространи странично в мрежата. Microsoft издаде насока за това как ще се справи с Петя,
Petya Ransomware / чистачки
След разпространението на първоначалната инфекция, Microsoft вече има доказателства, че няколко от активните инфекции на ransomware са били наблюдавани за първи път от легитимния процес на обновяване на MEDoc. Това направи ясен случай на атаки на веригата за доставки на софтуер, която стана доста обичайна с нападателите, тъй като се нуждае от защита на много високо ниво.
Картината по-долу показва как процесът Evit.exe от MEDOC изпълни следната командния ред: Интересно подобен вектор беше споменат и от кибернетичната полиция в Украйна в публичния списък на показателите за компромис. Това е казано, че Петя е способна
- Краче идентификационни данни и използване на активните сесии
- Прехвърляне на злонамерени файлове между машините чрез използване на услугите за споделяне на файлове
- Злоупотреба с уязвимости на малките и средни предприятия в случаите на непакетирани машини.
Използва се механизъм за странично движение, използващ кражбата на акредитирани и представяне под чужда самоличност
Всичко започва с отпадането на Petya от инструмент за изтриване на акредитации и това се отнася както за 32-битови, така и за 64-битови варианти. Тъй като потребителите обикновено влизат с няколко локални профила, винаги има шанс, че един от активните сесии ще бъде отворен за няколко машини. Откраднатите пълномощия ще помогнат на Петя да получи основно ниво на достъп.
След като направите това, Петя сканира локалната мрежа за валидни връзки на портовете tcp / 139 и tcp / 445. След това в следващата стъпка той нарича подмрежа и за всеки потребител на подмрежа tcp / 139 и tcp / 445. След получаване на отговор, злонамереният софтуер ще копира двоичното устройство на отдалечената машина, като използва функцията за прехвърляне на файлове и идентификационните данни, които преди това е успяла да открадне.
Psexex.exe се премахва от Ransomware от вграден ресурс. В следващата стъпка той сканира локалната мрежа за дялове admin $ и след това се репликира в мрежата. Освен злоупотребите с дъмпинг, злонамереният софтуер също се опитва да открадне вашите акредитиви, като използва функцията CredEnumerateW, за да получи всички други потребителски идентификационни данни от магазина за авторски права.
Encryption
Злонамереният софтуер решава да шифрова системата в зависимост от нивото на привилегията на процеса на злонамерен софтуер и това се извършва чрез използване на алгоритъма за хеширане, базиран на XOR, който проверява стойностите на хеш и го използва като изключване на поведение.
В следващата стъпка Ransomware пише в главния запис за зареждане и след това настройва системата да се рестартира. Освен това, той използва функцията за планирани задачи, за да изключи машината след 10 минути. Сега Петя показва фалшиво съобщение за грешка, последвано от действително съобщение за оттегляне, както е показано по-долу.
