The Petya Ransomware / klaasipuhasti on Euroopas tekitanud hävingut ning Ukrainas esines esmakordselt infektsiooni nägemust, kui ohtu sattus üle 12 500 masina. Halvim oli see, et infektsioonid leidsid aset ka Belgiasse, Brasiiliasse, Indiasse ja ka Ameerika Ühendriikidesse. Petyal on usside võimalused, mis võimaldavad seda võrgu kaudu külgmiselt levitada. Microsoft on välja andnud juhised selle kohta, kuidas see lahendab Petya,
Petya Ransomware / klaasipuhasti
Pärast esialgse infektsiooni levikut on Microsoftil nüüd tõendeid selle kohta, et mõned ransomaterjali aktiivsed infektsioonid leiti esmakordselt seaduslikust MEDOCi värskendamise protsessist. See muutis selgeks näiteks tarkvara tarneahela rünnakute, mis on ründajatega muutunud üsna tavaliseks, kuna vajab väga kõrgetasemelist kaitset.
Ülaltoodud pilt näitab, kuidas Evol.exe protsess MEDOCist käivitas järgmise käsurea. Huvitava sarnase vektori nimetas ka Ukraina tsiviilpolitsei kompromissi näitajate avalikus loendis. See on öeldud, et Petja suudab
- Mandaatide varastamine ja aktiivsete seansside kasutamine
- Pahatahtlike failide ülekandmine masinate kaudu, kasutades failide jagamise teenuseid
- Tõstetud masinate puhul SMB haavatavuste kuritarvitamine.
Tõenäolise varguse ja isikupärastamise abil kasutatakse külgliikumise mehhanismi
Kõigepealt algab Petya mandaadi dumpingu tööriistaga ja seda saab nii 32- kui ka 64-bitiste variantidega. Kuna kasutajad tavaliselt sisse logivad mitmete kohalike kontodega, on alati võimalus, et üks aktiivne seanss on avatud mitmel masinal. Varastatud volikirjad aitavad Petyal saada põhitase.
Kui see on tehtud, otsib Petya kohalikku võrku kehtivate ühenduste jaoks pordid tcp / 139 ja tcp / 445. Seejärel kutsub see järgmises etapis alamvõrku ja iga alamvõrgu kasutajatele tcp / 139 ja tcp / 445. Pärast vastuse saamist kopeerib pahavara kaugserverisse kaugarvutis, kasutades selleks failide ülekandmise funktsiooni ja varem õnnestunud varasemaid mandaate.
Psexex.exe langeb Ransomware sisse varjatud ressurssist. Järgmisel etapil skannib kohalik võrk admin $ shares ja kopeerib end kogu võrgus. Peale mandaadipõhise dumpingu püüab pahavara oma volikirja varastada, kasutades CredEnumerateW funktsiooni, et saada kõik muud mandaatkaupluses olevad kasutaja mandaadid.
Krüptimine
Malware otsustab süsteemi krüpteerida olenevalt pahavara protsessi privileegide tasemest ja seda tehakse XOR-põhise räsimisalgoritmiga, mis kontrollib räsi väärtusi ja kasutab seda käitumismuutmatusena.
Järgmises etapis kirjutab Ransomware master boot record ja seejärel käivitab süsteemi taaskäivitamiseks. Lisaks sellele kasutab ta 10 minuti jooksul masina sulgemiseks planeeritud ülesannete funktsionaalsust. Nüüd näitab Petya võltsitud veateadet, millele järgneb tegelik ransom, nagu allpool näidatud.
