UPDATE Alertă Petya/Petwarp ransomware! O nouă amenințare informatică vizează utilizatorii sistemelor de operare Windows

Foto:

UPDATE 26.07.2017 

Site-ul Malwarebytes.com a publicat recent o actualizare cu privire la posibilitatea de decriptare a unor fișiere infectate cu virusul de tip ransomware Petya. Hashrezade, un cercetător independent specializat în securitate informatică, a reușit să creeze un instrument de decriptare dedicat acestui tip de infecții. Articolul complet de pe Mawarebytes se poate citi aici.

În cazul în care aveți în continuare copii ale fișierelor infectate cu această variantă de ransomware, puteți descărca software-ul necesar decriptării de pe Github, accesând acest link.    

__________________________________________________________________________________________________

Începând de Marți, 26 iunie 2017, utilizatori și companii din întreaga lume, dar mai cu seamă Ucraina, au fost afectați de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea și ca Petrwrap și care pare să reprezinte o formă modificată a unei variante cunoscute încă din anul 2016.

Vectorul de infecție:

Infecția inițială a sistemelor se realizează prin intermediul unor documente atașate unor mesaje email de tip phishing, pe care utilizatorii sunt îndemnați să le deschidă. De asemenea, conform unor informații publicate pe rețelele de socializare de autoritățile din Ucraina, virusul s-a răspândit și prin intermediul mecanismului de actualizare al aplicației MeDoc (populară în Ucraina), această variantă fiind confirmată și într-o postare de pe blogul companiei de securitate Kaspersky.

Ca și în cazul WannaCry, odată infectată o stație de lucru dintr-o rețea, virusul utilizează multiple tehnici de răspândire laterală, inclusiv:

• Scanează segmentul de rețea locală /24 pentru a identifica și enumera share-uri ADMIN$ pe alte sisteme, apoi se copiază pe acestea și execută cod malițios prin PSEXEC. Acest mecanism este valabil doar pentru situațiile în care utilizatorul victimă are drepturi de scriere fișiere și execuție a acestora pe sistemul care găzduiește share-ul de rețea;
• Capturarea unor credențiale administrative din memoria sistemului infectat și utilizarea acestora pentru răspândirea în rețea prin WMIC (Windows Management Instrumentation Command-line) și Psexec. Acesta poate utiliza instrumente de tip Mimikatz pentru extragerea datelor de autentificare din sistemul infectat și folosirea acestora pentru a se executa pe alte sisteme vizate din rețeaua locală;
• Exploatarea unor vulnerabilități rezolvate de Microsoft prin buletinul MS17-010 (CVE-2017-0144, CVE-2017-0145), prin uneltele de exploatare cunoscute ca EternalBlue (utilizat și de WannaCry) și EternalRomance. Acest lucru nu este posibil decât dacă sistemul vizat nu are implementate patch-urile pentru MS17-010.

Conform informațiilor deținute până în prezent de CERT-RO, virusul se răspândește doar în rețeaua internă unde a avut loc infecția inițială a unei stații de lucru, utilizând următoarele tehnici de identificare a altor sisteme țintă:

• Identificarea plăcilor de rețea de pe sistemul infectat;
• Citirea denumirilor altor sisteme din NetBIOS;
• Citirea informațiilor aferente DHCP (lease time)

Toate sistemele identificate de virus în rețelele adiacente sunt scanate pe porturile TCP/445 și TCP/139 (utilizate de protocolul SMB), iar dacă porturile sunt deschise încercă exploatarea vulnerabilităților descrise anterior.

O analiză completă a comportamentului și a caracteristicilor acestui malware se poate citi pe blogul Microsoft, la adresa:
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/    

Impact:

Odată infectată o stație de lucru, virusul încearcă răspândirea laterală în rețea și, după o perioadă de așteptare de 10-60 de minute, repornește sistemul, criptează tabela MFT (NTFS Master File Table) și înlocuiește codul din zona MBR a discului de stocare cu o formă proprietară ce afișează mesajul de răscumpărare (ransom note).

Acest comportament aduce o caracteristică nouă față de alte versiuni de ransomware, în sensul că, adițional criptării fișierelor, se blochează inclusiv accesul la sistemul infectat.

Virusul criptează următoarele tipuri de fișiere (după extensie):

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Pentru criptarea datelor, malware-ul utilizează AES-128 cu RSA, spre deosebire de versiunile anterioare care utilizau SALSA20.

În funcție de drepturile pe care malware-ul le are pe sistemul infectat, acesta va cripta:

• MBR și MFT, dacă are drepturi de administrator;
• Numai fișierele, în cazul unor drepturi limitate.

Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin, evoluția plaților putând fi urmărită la adresa:

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Indicatori de compromis:

# Semnături hash SHA256:

f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE) 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL) 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL) 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE) eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998                 (32-bit EXE)

# Adrese IP:

84.200.16.242

111.90.139.247

95.141.115.108

185.165.29.78

#File:

c:\windows\dllhost.dat

c:\windows\ (no extension)

%TEMP%\.tmp (EXE drop)

# Domenii web:

french-cooking.com

sundanders.online

casconut.xyz

blumbeerg.xyz  

insurepol.in

whitefoam.org.uk

xfusion.co.uk  

affliates.in  

chyporus.in

coffeinoffice.xyz  

dantan.club  

kababmachatu.xyz  

damodot.xyz

ballotvize.xyz

# Adresă de email:

[email protected]

Mai multe informații referitoare la indicatorii de compromis se pot obține de la următoarele adrese:

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

https://securelist.com/schroedingers-petya/78870/

https://exchange.xforce.ibmcloud.com/collection/Petya-Ransomware-Campaign-9c4316058c7a4c50931d135e62d55d89

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Recomandări:

CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:

• Utilizarea unui produs antivirus/antimalware modern și actualizat cu ultimele semnături;
• Actualizarea la zi a sistemului de operare și aplicațiilor instalate;
• Dezactivarea protocolului SMBv1 (sau chiar a tuturor versiunilor dacă nu sunt necesare);
• Dezactivarea WMIC (net stop winmgmt), dacă nu este necesar;
• Utilizarea unei unelte de protejare împotriva modificării neautorizate a MBR, precum cea oferită de Talos: https://www.talosintelligence.com/mbrfilter;
• Crearea unui fișier read-only denumit perfc fără extensie în %windir%. Detalii: https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/ sau https://eddwatton.wordpress.com/2017/06/27/use-group-policy-preferences-to-deploy-the-notpetya-vaccine/
• Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
• Realizarea periodică a unor copii de siguranță (backup) pentru datele importante;
• Implementarea măsurilor din „Ghidul privind combaterea amenințărilor de tip ransomware” elaborat de CERT-RO și disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware.

ATENȚIE!

CERT-RO nu încurajează plata pentru răscumpărarea fișierelor. În plus, adresa de mail indicată de atacatori pentru efectuarea plății a fost dezactivată în cursul zilei de ieri!