Petya Ransomware / modus operandi Wiper adalah wain lama dalam botol baru

The Petya Ransomware / Wiper telah mewujudkan kekacauan di Eropah, dan sekilas jangkitan itu mula-mula dilihat di Ukraine apabila lebih daripada 12,500 mesin dikompromi. Bahagian yang paling teruk ialah jangkitan itu juga merebak ke Belgium, Brazil, India dan juga Amerika Syarikat. Petya mempunyai keupayaan cacing yang membolehkannya menyebarkan secara meluas ke rangkaian. Microsoft telah mengeluarkan panduan mengenai bagaimana ia akan menangani Petya,

Petya Ransomware / Wiper

Setelah penyebaran jangkitan awal, Microsoft kini mempunyai bukti bahawa beberapa jangkitan aktif ransomware pertama kali diperhatikan dari yang sah Proses kemas kini MEDOC. Ini menjadikannya satu kes yang jelas mengenai serangan rantaian bekalan perisian yang telah menjadi sangat biasa dengan penyerangnya kerana ia memerlukan pertahanan tahap yang sangat tinggi.

Gambar di bawah menunjukkan bagaimana proses Evit.exe dari MEDoc dilaksanakan perintah berikut garis, vektor yang menarik juga disebutkan oleh Polis Siber Ukraine dalam senarai awam penunjuk kompromi. Sekiranya dikatakan Petya mampu

• Mencuri kelayakan dan menggunakan sesi aktif
• Mentransfer fail berniat jahat ke seluruh mesin dengan menggunakan perkhidmatan perkongsian fail
• Menyalahgunakan kelemahan SMB dalam kes mesin yang tidak terpasang

Mekanisme pergerakan sisi menggunakan kecurian kepercayaan dan penyamaran berlaku

Semuanya bermula dengan Petya menjatuhkan alat lambakan kredensial, dan ini terdapat dalam kedua-dua 32-bit dan 64-bit varian. Oleh kerana pengguna biasanya log masuk dengan beberapa akaun setempat, selalu ada kemungkinan bahawa salah satu sesi aktif akan terbuka di beberapa mesin. Kredensial dicuri akan membantu Petya mendapatkan tahap asas akses.

Setelah selesai Petya mengimbas jaringan lokal untuk sambungan yang sah pada port tcp / 139 dan tcp / 445. Kemudian dalam langkah seterusnya, ia memanggil subnet dan bagi setiap pengguna subnet tcp / 139 dan tcp / 445. Setelah mendapat respons, malware kemudian akan menyalin binari pada mesin jauh dengan menggunakan ciri pemindahan fail dan kelayakan yang sebelumnya telah dicuri.

The psexex.exe dijatuhkan oleh Ransomware dari sumber yang terbenam. Dalam langkah seterusnya, ia mengimbas rangkaian tempatan untuk saham $ admin dan kemudian mereplikasi dirinya di seluruh rangkaian. Selain daripada membuang kepercayaan itu, malware juga cuba mencuri kelayakan anda dengan menggunakan fungsi CredEnumerateW untuk mendapatkan semua kelayakan pengguna lain dari kedai kelayakan.

Penyulitan

Malware itu memutuskan untuk menyulitkan sistem bergantung kepada Tahap keistimewaan proses malware, dan ini dilakukan dengan menggunakan algoritma hashing berasaskan XOR yang menyemak terhadap nilai hash dan menggunakannya sebagai pengecualian tingkah laku.

Dalam langkah seterusnya, Ransomware menulis kepada rekod boot utama dan kemudian menetapkan up sistem untuk reboot. Selain itu, ia juga menggunakan fungsi tugas yang dijadualkan untuk menutup mesin selepas 10 minit. Sekarang Petya memaparkan mesej ralat palsu diikuti dengan mesej Ransom sebenar seperti yang ditunjukkan di bawah.

The Ransomware kemudiannya akan cuba menyulitkan semua fail dengan pelanjutan yang berbeza di semua pemacu kecuali untuk C: Windows. Kunci AES yang dijana adalah setiap pemacu tetap, dan ini akan dieksport dan menggunakan kunci awam RS 2048 terbenam penyerang, kata Microsoft.