Trojan.Ransom.Petya (Petya 2.0 2016 Ransomware, flashing lights warning)
Sadržaj:
Petya Ransomware / Wiper stvara pustoš u Europi, a uvid u zarazu prvi je put viđen u Ukrajini kada je više od 12.500 strojeva su ugroženi. Najgori dio je bio da su se infekcije proširile i na Belgiju, Brazil, Indiju i Sjedinjene Države. Petya ima crve sposobnosti koje će mu omogućiti širenje bočno preko mreže. Microsoft je objavio smjernice o tome kako će se uhvatiti u koštac s Petya, Petya Ransomware / Wiper
Nakon širenja početne infekcije, Microsoft sada ima dokaze da su neke od aktivnih infekcija otkrića prvo promatrane od legitimne Postupak ažuriranja MEDoc. To je učinilo jasnim slučajem napada softvera opskrbnog lanca koji je postao prilično uobičajen s napadačima, jer treba obranu vrlo visoke razine.
Slika ispod pokazuje kako je proces Evit.exe iz MEDoc izvršio sljedeću naredbu line, Zanimljivo sličan vektor je također spomenuta od strane cyber policijske tvrtke Ukrajine u javnom popisu pokazatelja kompromisa. Kao što je rečeno, Petya je sposobna
ukrasti vjerodajnice i iskoristiti aktivne sesije
- Prijenos zlonamjernih datoteka na strojeve pomoću servisa za dijeljenje datoteka
- Zloupotreba SMB ranjivosti u slučaju nespecijaliziranih strojeva
- Mehanizam lateralnog kretanja pomoću krađe vjerodostojnosti i lažno predstavljanje
Sve počinje s Petya ispuštajući alat za damping vjerodajnica, a to dolazi u obje 32-bitne i 64-bitne varijante. Budući da se korisnici obično prijavljuju s nekoliko lokalnih računa, uvijek postoji mogućnost da će jedna od aktivnih sesija biti otvorena na više računala. Ukradene vjerodajnice pomažu Petyi da dobije osnovnu razinu pristupa.
Nakon što Petya skenira lokalnu mrežu za valjane veze na portovima tcp / 139 i tcp / 445. Zatim u sljedećem koraku naziva se podmreža i za sve korisnike podmreže tcp / 139 i tcp / 445. Nakon što dobije odgovor, zlonamjerni softver će zatim kopirati binarni program na udaljenom računalu korištenjem značajke prijenosa datoteka i vjerodajnica koje je ranije uspio ukrasti.
Ransomware odbaci psexex.exe iz ugrađenog resursa, U sljedećem koraku skenira lokalnu mrežu za admin $ dionice, a zatim se replicira preko mreže. Osim diktiranja vjerodajnica, zlonamjerni softver također pokušava ukrasti vaše vjerodajnice pomoću funkcije CredEnumerateW kako bi se dobile sve druge vjerodajnice korisnika iz trgovine vjerodajnicama.
Šifriranje
Zlonamjerni softver odluči šifrirati sustav ovisno o zlonamjernog procesa, a to se postiže korištenjem algoritma raspršivanja temeljenog na XOR-u koji provjerava hashove vrijednosti i koristi ga kao isključivanje ponašanja.
U sljedećem koraku, Ransomware piše na glavni zapis boot, a zatim postavlja up sustav za ponovno podizanje sustava. Nadalje, koristi i funkcije zakazanih zadataka za isključivanje stroja nakon 10 minuta. Sada Petya prikazuje lažnu poruku o pogrešci koja slijedi aktualna Ransom poruka kao što je prikazano u nastavku.
Ransomware će zatim pokušati šifrirati sve datoteke s različitim ekstenzijama na svim pogonima osim za C: Windows. Ključ AES generiran je po fiksnom pogonu i to se izvozi i koristi ugrađeni 2048-bitni RSA javni ključ napadača, kaže Microsoft.
Uklonite osjetljive podatke prije nego prodate staro računalo
Brian Ellis želi znati najbolji način za osiguravanje starog računala za novog vlasnika
Velocity Solo X2 pregled: Učite staro računalo nove SATA 6-gbps tricks
Ako vaše računalo nema SATA 6-gbps sučelje, ovaj uređaj će ga dodati i omogućiti vam da priložite jedan pogon (također ima drugo sučelje za domaćin drugog pogona).
Pripremite staro računalo za novog vlasnika
James R. Miller ima novo računalo i donirat će mu stari. Tražio je savjete o pripremi svog starog računala za prijelaz. James R. Miller ima novo računalo i darovat će mu stari. Pitao je za savjet o pripremanju svog starog računala za prijelaz.