Virus Petya In Action
สารบัญ:
มีการบุกรุกเครื่อง 12,500 เครื่อง ส่วนที่เลวร้ายที่สุดก็คือการติดเชื้อได้แผ่กระจายไปทั่วทั้งเบลเยี่ยมบราซิลอินเดียและสหรัฐอเมริกา Petya มีความสามารถในการทำงานของเวิร์มซึ่งจะช่วยให้สามารถแพร่กระจายไปทั่วทั้งโครงข่าย Microsoft ได้ออกแนวทางในการจัดการกับ Petya, Petya Ransomware / Wiper หลังจากการแพร่กระจายของการติดเชื้อครั้งแรก Microsoft มีหลักฐานว่ามีการติดเชื้อ ransomware ไม่กี่ครั้งจากถูกต้องตามกฎหมาย กระบวนการอัพเดต MEDOC ซึ่งทำให้เป็นกรณีที่ชัดเจนของการโจมตีซอฟต์แวร์ซัพพลายเชนซึ่งเป็นปัญหาที่พบบ่อยกับผู้บุกรุกเนื่องจากต้องการการป้องกันในระดับสูง
ภาพด้านล่างนี้แสดงให้เห็นว่ากระบวนการ MEDIT ดำเนินการตามคำสั่งต่อไปนี้อย่างไร บรรทัดที่น่าสนใจคล้ายกันเวกเตอร์ยังกล่าวถึงโดยตำรวจไซเบอร์ยูเครนในรายการสาธารณะของตัวชี้วัดของการประนีประนอม
การโอนไฟล์ที่เป็นอันตรายข้ามเครื่องโดยใช้บริการแชร์ไฟล์
ใช้ช่องโหว่ SMB ในกรณีที่ไม่ได้ติดตั้งเครื่อง
- ขโมยข้อมูลประจำตัวและใช้เซสชันที่ใช้งานอยู่
- > กลไกการเคลื่อนย้ายด้านข้างโดยใช้การขโมยข้อมูลรับรองและการแอบอ้างบุคคลอื่นเกิดขึ้น
ทุกอย่างเริ่มต้นด้วย Petya ทิ้งเครื่องมือการทุ่มตลัยข้อมูลรับรองและมีทั้งแบบ 32 บิตและ 64 บิต เนื่องจากผู้ใช้มักเข้าสู่ระบบด้วยบัญชีท้องถิ่นหลายแห่งจึงมีโอกาสที่จะเปิดเซสชันที่ใช้งานอยู่ในหลาย ๆ เครื่อง ข้อมูลประจำตัวที่ถูกโจรกรรมจะช่วยให้ Petya เข้าถึงระดับพื้นฐานได้
เมื่อ Petya สแกนเสร็จแล้วเครือข่ายท้องถิ่นสำหรับการเชื่อมต่อที่ถูกต้องบนพอร์ต tcp / 139 และ tcp / 445 จากนั้นในขั้นตอนถัดไปจะเรียก subnet และสำหรับผู้ใช้ subnet ทั้งหมด tcp / 139 และ tcp / 445 หลังจากได้รับการตอบสนองแล้วมัลแวร์จะคัดลอกไบนารีในเครื่องระยะไกลโดยการใช้คุณสมบัติการถ่ายโอนไฟล์และข้อมูลรับรองที่ได้มีการจัดการไว้ก่อนหน้านี้เพื่อขโมย
psexex.exe ถูกทิ้งโดย Ransomware จากทรัพยากรที่ฝังอยู่. ในขั้นตอนถัดไปจะสแกนเครือข่ายท้องถิ่นสำหรับผู้ใช้ admin $ และจะทำซ้ำตัวเองผ่านเครือข่าย นอกเหนือจากข้อมูลประจำตัวการทิ้งมัลแวร์ยังพยายามขโมยข้อมูลรับรองของคุณโดยการใช้ฟังก์ชัน CredEnumerateW เพื่อรับข้อมูลรับรองผู้ใช้ทั้งหมดจากที่เก็บข้อมูลรับรอง
การเข้ารหัสลับ
มัลแวร์ตัดสินใจที่จะเข้ารหัสระบบขึ้นอยู่กับ ขั้นตอนการประมวลผลมัลแวร์และทำโดยการใช้อัลกอริทึมการสแกนแบบ XOR ซึ่งจะตรวจสอบกับค่าแฮชและใช้เป็นการยกเว้นพฤติกรรม
ในขั้นตอนต่อไป Ransomware จะเขียนข้อมูลลงในมาสเตอร์บูท ระบบจะรีบูต นอกจากนี้ยังใช้ฟังก์ชันการทำงานที่กำหนดเวลาไว้เพื่อปิดเครื่องหลังจากผ่านไป 10 นาที ตอนนี้ Petya จะแสดงข้อความแสดงข้อผิดพลาดปลอมตามด้วยข้อความ Ransom Ransom ที่เกิดขึ้นจริงดังที่แสดงด้านล่าง
Ransomware จะพยายามเข้ารหัสไฟล์ทั้งหมดที่มีนามสกุลต่างจากไดรฟ์ทั้งหมดยกเว้น C: Windows คีย์ AES ถูกสร้างขึ้นต่อไดรฟ์แบบถาวรและได้รับการส่งออกและใช้คีย์สาธารณะ RSA 2048 บิตที่ฝังอยู่ของผู้โจมตี Microsoft กล่าวว่า
ในขณะที่ Ransomware เป็นปัญหาอยู่เสมอ แต่ก็เพิ่มขึ้นเป็นความอื้อฉาวหลังการโจมตี WannaCry ransomware ในเดือนพฤษภาคมปี 2017 ตั้งแต่นั้นเป็นต้นมาระบบป้องกันจากปัญหานี้ได้รับความสำคัญเป็นอย่างยิ่ง ผู้ผลิตระบบและผู้เชี่ยวชาญด้านความปลอดภัย มีเครื่องมือต่อต้าน ransomware ฟรีอยู่หลายเครื่องในตลาด - ในวันนี้เราจะมาดูที่
AppCheck Anti-ransomware
คุณอาจเคยได้ยินเกี่ยวกับ Ransomware WannaCrypt และ NotPetya ที่เผยแพร่ไปทั่วอินเทอร์เน็ต crypto-ransomware สร้างเครือข่ายของคุณผ่านอินเทอร์เน็ตและคอมพิวเตอร์ที่มีช่องโหว่ในเครือข่ายของคุณ การคุ้มครอง ransomware ไม่จำเป็น แต่จำเป็นวันนี้หรือคุณจะจ่ายเงินค่าไถ่หรือสูญเสียข้อมูลของคุณ
องค์กรขนาดใหญ่ที่มีทีม IT สามารถจัดการกับสถานการณ์เหล่านี้ได้อย่างง่ายดายด้วยความช่วยเหลือของผู้เชี่ยวชาญ แต่มัลแวร์เหล่านี้ทำให้เกิดปัญหากับเจ้าของธุรกิจขนาดเล็กและแม้แต่กับคอมพิวเตอร์ส่วนบุคคล ในบทความนี้เราได้พูดถึง
ดาวน์โหลด Petya ransomware ถอดรหัสเครื่องมือและเครื่องกำเนิดไฟฟ้ารหัสผ่าน
Petya ransomware ถอดรหัสเครื่องมือและเครื่องกำเนิดไฟฟ้ารหัสผ่านสามารถดาวน์โหลดได้ฟรีที่เปิดตัวแล้ว รับดิสก์ที่เข้ารหัส Petya ของคุณโดยไม่ต้องจ่ายค่าไถ่ใด ๆ