Petya Ransomware / brisač u Europi je stvarala pustoš, a uvid u infekciju prvi put je vidljiv u Ukrajini kad je ugroženo više od 12.500 strojeva. Najgori dio je bio da su se infekcije proširile i na Belgiju, Brazil, Indiju i Sjedinjene Države. Petya ima crve sposobnosti koje će mu omogućiti širenje bočno preko mreže. Microsoft je objavio smjernice o tome kako će se uhvatiti u koštac s Petyom,
Petya Ransomware / brisač
Nakon širenja početne infekcije, Microsoft sada ima dokaze da su neke od aktivnih infekcija ransom programa prvo zabilježene od legitimnog postupka MEDoc ažuriranja. To je učinilo jasnim slučajem napada softvera opskrbnog lanca koji je postao prilično uobičajen s napadačima jer treba obranu vrlo visoke razine.
Sljedeća slika pokazuje kako je proces Evit.exe iz MEDoca izvršio sljedeću naredbenu liniju. Zanimljivo sličan vektor također je spomenuta od strane cyber policijske službe u Ukrajini u javnom popisu pokazatelja kompromisa. To što je rečeno da je Petya sposobna
- Krađa vjerodajnica i korištenje aktivnih sesija
- Prijenos zlonamjernih datoteka na strojeve pomoću usluga dijeljenja datoteka
- Zloupotreba SMB ranjivosti u slučaju nepropisanih strojeva.
Dogodi se mehanizam lateralnog kretanja pomoću krađe vjeroispovijesti i lažno predstavljanja
Sve počinje s Petya ispuštajući alat za pohranu vjerodajnica, a to dolazi u obje 32-bitne i 64-bitne varijante. Budući da se korisnici obično prijavljuju s nekoliko lokalnih računa, uvijek postoji mogućnost da će jedna od aktivnih sesija biti otvorena na više računala. Ukradene vjerodajnice pomoći će Peti da dobije osnovnu razinu pristupa.
Jednom obavljen Petya skenira lokalnu mrežu za valjane veze na portovima tcp / 139 i tcp / 445. Zatim u sljedećem koraku naziva se podmreža i za sve korisnike podmreže tcp / 139 i tcp / 445. Nakon dobivanja odgovora, zlonamjerni softver će kopirati binarnu datoteku na udaljenom računalu korištenjem značajke prijenosa datoteka i vjerodajnica koje je ranije uspio ukrasti.
Ransomware odbaci psexex.exe iz ugrađenog resursa. U sljedećem koraku skenira lokalnu mrežu za admin $ dionice, a zatim se replicira preko mreže. Osim diktiranja vjerodajnica, zlonamjerni softver također pokušava ukrasti vaše vjerodajnice upotrebom funkcije CredEnumerateW kako bi se dobile sve druge vjerodajnice korisnika iz trgovine vjerodajnicama.
Šifriranje
Zlonamjerni softver odluči šifrirati sustav ovisno o stupnju povlastice procesa zlonamjernog softvera, a to se provodi pomoću algoritma raspršivanja temeljenog na XOR-u koji provjerava hashne vrijednosti i koristi ga kao isključivanje ponašanja.
U sljedećem koraku, Ransomware piše na master boot record, a zatim postavlja sustav za ponovno podizanje sustava. Nadalje, koristi i funkcije zakazanih zadataka za isključivanje stroja nakon 10 minuta. Sada Petya prikazuje pogrešnu poruku o pogrešci koju slijedi stvarna Ransom poruka kao što je prikazano u nastavku.
