"Petya Ransomware / Wiper" modus operandi yra senas vynas naujame butelyje

Turinys:

"Petya Ransomware / Wiper" modus operandi yra senas vynas naujame butelyje
"Petya Ransomware / Wiper" modus operandi yra senas vynas naujame butelyje
Anonim

The Petya Ransomware / Valytuvas Europoje sukėlė griuvėsius, o Ukrainoje pirmą kartą buvo pastebėta užuominos apie tai, kai buvo pažeista daugiau nei 12 500 mašinų. Blogiausia buvo tai, kad infekcijos taip pat sklido visoje Belgijoje, Brazilijoje, Indijoje, taip pat Jungtinėse Amerikos Valstijose. "Petya" turi kirminų galimybes, kurios leis jį skleisti į šonus tinkle. "Microsoft" išleido gaires, kaip ji spręs Petą,

Image
Image

Petya Ransomware / Valytuvas

Po pradinės infekcijos plitimo, "Microsoft" dabar turi įrodymų, kad keletas aktyvių ransomarių infekcijų pirmą kartą buvo pastebėti iš teisėto MEDOC atnaujinimo proceso. Tai padarė aiškų atvejį, kai programinės įrangos tiekimo grandinės išpuoliai tapo gana įprasti su užpuolikėliais, nes jai reikia labai aukšto lygio gynimo.

Žemiau pateiktame paveikslėlyje parodyta, kaip Evoc.exe procesas iš MEDoc vykdė šią komandų eilutę. Įdomu panašiu vektoriumi taip pat paminėjo Ukrainos kibernetinė policija viešame kompromiso rodiklių sąraše. Tai pasakytina, kad Petė yra pajėgi

  • Pavogti akredityvus ir naudoti aktyvius seansus
  • Kenkėjiškų failų perkėlimas į mašinas naudojant failų dalijimosi paslaugas
  • Piktnaudžiavimas SMB pažeidžiamumu nepatvirtintų mašinų atveju.

Sietinis judėjimo mechanizmas, naudojantis akredituotų vagystes ir apsimetinėjimą, įvyksta

Viskas prasideda nuo "Petja", panaikinančio įgaliojimų dempingo priemonę, ir tai pateikiama tiek 32 bitų, tiek 64 bitų variantuose. Kadangi vartotojai dažniausiai prisijungia prie kelios vietinės paskyros, visada yra tikimybė, kad vienas aktyvus seansas bus atidarytas keliose mašinose. Pavogti įgaliojimai padės "Petai" įgyti pagrindinį prieigos lygį.

Po to "Petya" nuskaito vietinį tinklą dėl galiojančių jungčių tcp / 139 ir tcp / 445. Tada kitame žingsnyje jis vadina povandeninį tinklą ir kiekvienam antrinių tinklo naudotojams tcp / 139 ir tcp / 445. Gavusi atsakymą, kenkėjiška programa nukopijuos dvejetainį failą nuotoliniame kompiuteryje naudodama failų perkėlimo funkciją ir anksčiau sugautus įgaliojimus pavogti.

"Psexex.exe" yra išbrauktas iš "Ransomware" iš įterpto ištekliaus. Kitame žingsnyje jis nuskaito vietinį tinklą "admin $ shares" ir pakartoja save per tinklą. Be patikrinimo, dempingas kenkėjiška programa taip pat bando pavogti jūsų kredencialus naudojant "CredEnumerateW" funkciją, kad būtų galima gauti visus kitus vartotojo įgaliojimus iš įgaliotinių parduotuvės.

Šifravimas

Kenkėjiška programa nusprendžia šifruoti sistemą priklausomai nuo kenkėjiškų programų veiksmų privilegijos lygio, o tai daroma naudojant XOR pagrįstą maišymo algoritmą, kuris patikrina maišos reikšmes ir naudoja jį kaip elgesio išskyrimą.

Kitame žingsnyje Ransomware įrašo į pagrindinį įkrovos įrašą ir tada nustato, kad sistema perkrauta. Be to, jis naudojasi numatytomis užduočių funkcijomis, norint išjungti mašiną po 10 minučių. Dabar "Petya" parodo klaidingą klaidos pranešimą, po kurio rašomas faktinis pranešimas "Išperkamasis", kaip parodyta toliau.

Rekomenduojamas: