Petya Ransomware / Wiper`s modus operandi, yeni bir şişede eski bir şaraptır

Petya Ransomware / Wiper Avrupa`da tahribat yaratıyor ve Ukrayna`da enfeksiyonun ilk görülme sıklığı ilk kez görülüyor. 12.500 makine ele geçirildi. En kötü yanı, enfeksiyonların Belçika, Brezilya, Hindistan ve ABd`ye de yayılmış olmasıydı. Petya, ağ boyunca yanlamasına yayılmasına olanak tanıyacak sonsuz yeteneklere sahiptir. Microsoft, Petya`nın

Petya Ransomware / Wiper

ile nasıl başa çıkacağına dair bir kılavuz yayınladı. Microsoft, ilk enfeksiyonun yayılmasından sonra artık fidye yazılımının aktif enfeksiyonlarının birkaçının meşrudan gözlemlendiğine dair kanıtlara sahip. MEDOC güncelleme işlemi. Bu, çok yüksek seviyede bir savunmaya ihtiyaç duyduğundan saldırganlarla oldukça yaygın hale gelen yazılım tedarik zinciri saldırılarının açık bir örneğini oluşturdu.

Yukarıdaki resim, Medoc`tan Evit.exe işleminin aşağıdaki komutu nasıl yürüttüğünü göstermektedir. Hat, ilginç benzer vektör de uzlaşma göstergeleri kamu listesinde Ukrayna Siber Polis tarafından belirtildi. Petya`nın

• yeteneklerini çalması ve aktif oturumlardan yararlanması olduğu söyleniyor.
• Dosya paylaşım hizmetleri
• İstenmeyen makinelerde SMB açıklarının kötüye kullanılması. > Kimlik hırsızlığı ve kimliğe bürünme kullanarak yanal hareket mekanizması gerçekleşir

Her şey Petya bir kimlik bilgisi döküm aracını bırakarak başlar ve bu hem 32-bit hem de 64-bit varyantlarında gelir. Kullanıcılar genellikle birkaç yerel hesapla giriş yaptığından, etkin bir oturumdan birinin birden fazla makinede açık olma şansı her zaman vardır. Çalınan kimlik bilgileri, Petya`nın temel bir erişim seviyesi kazanmasına yardımcı olacak.

Bir kez bittiğinde, Petya yerel ağları tcp / 139 ve tcp / 445 bağlantı noktalarında geçerli bağlantılar için tarar. Sonra bir sonraki adımda, alt ağı ve her alt ağ kullanıcısı için tcp / 139 ve tcp / 445`i çağırır. Bir yanıt aldıktan sonra, kötü amaçlı yazılım daha sonra dosya transferi özelliğini ve çalmayı başardığı kimlik bilgilerini kullanarak uzaktaki makinede ikili kopyalayacaktır.

psexex.exe yerleşik bir kaynaktan Ransomware tarafından düşürülür.. Bir sonraki adımda, admin $ paylaşımları için yerel ağı tarar ve daha sonra kendini ağ üzerinden çoğaltır. Kimlik bilgilerinin boşaltılmasının yanı sıra, kötü amaçlı yazılım aynı zamanda CredEnumerateW işlevini kullanarak tüm kimlik bilgilerini saklamak için kimlik bilgilerini çalmaya çalışır.

Şifreleme

Kötü amaçlı yazılım, sisteme bağlı olarak şifrelemeye karar verir. kötü amaçlı yazılım süreci ayrıcalığı düzeyi, ve bu, karma değerlere karşı denetleyen ve onu bir davranış dışlama olarak kullanan bir XOR tabanlı karma algoritması kullanarak yapılır.

Bir sonraki adımda, Ransomware ana önyükleme kaydına yazar ve sistemi yeniden başlatmak için. Ayrıca, makineyi 10 dakika sonra kapatmak için zamanlanmış görev işlevini de kullanır. Petya, aşağıdaki gibi gerçek bir Ransom mesajının takip ettiği sahte bir hata mesajı görüntülemektedir.

Ransomware daha sonra C: Windows haricindeki tüm sürücüler için farklı uzantılara sahip tüm dosyaları şifrelemeye çalışacaktır. Oluşturulan AES anahtarı sabit sürücüdür ve bu dışa aktarılır ve saldırganın yerleşik 2048 bit RSA ortak anahtarını kullanır, diyor Microsoft.