UPDATE 26.07.2017
Site-ul Malwarebytes.com a publicat recent o actualizare cu privire la posibilitatea de decriptare a unor fișiere infectate cu virusul de tip ransomware Petya. Hashrezade, un cercetător independent specializat în securitate informatică, a reușit să creeze un instrument de decriptare dedicat acestui tip de infecții. Articolul complet de pe Mawarebytes se poate citi aici.
În cazul în care aveți în continuare copii ale fișierelor infectate cu această variantă de ransomware, puteți descărca software-ul necesar decriptării de pe Github, accesând acest link.
__________________________________________________________________________________________________
Începând de Marți, 26 iunie 2017, utilizatori și companii din întreaga lume, dar mai cu seamă Ucraina, au fost afectați de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea și ca Petrwrap și care pare să reprezinte o formă modificată a unei variante cunoscute încă din anul 2016.
Vectorul de infecție:
Infecția inițială a sistemelor se realizează prin intermediul unor documente atașate unor mesaje email de tip phishing, pe care utilizatorii sunt îndemnați să le deschidă. De asemenea, conform unor informații publicate pe rețelele de socializare de autoritățile din Ucraina, virusul s-a răspândit și prin intermediul mecanismului de actualizare al aplicației MeDoc (populară în Ucraina), această variantă fiind confirmată și într-o postare de pe blogul companiei de securitate Kaspersky.
Ca și în cazul WannaCry, odată infectată o stație de lucru dintr-o rețea, virusul utilizează multiple tehnici de răspândire laterală, inclusiv:
Conform informațiilor deținute până în prezent de CERT-RO, virusul se răspândește doar în rețeaua internă unde a avut loc infecția inițială a unei stații de lucru, utilizând următoarele tehnici de identificare a altor sisteme țintă:
Toate sistemele identificate de virus în rețelele adiacente sunt scanate pe porturile TCP/445 și TCP/139 (utilizate de protocolul SMB), iar dacă porturile sunt deschise încercă exploatarea vulnerabilităților descrise anterior.
O analiză completă a comportamentului și a caracteristicilor acestui malware se poate citi pe blogul Microsoft, la adresa:
https://blogs.technet.
Impact:
Odată infectată o stație de lucru, virusul încearcă răspândirea laterală în rețea și, după o perioadă de așteptare de 10-60 de minute, repornește sistemul, criptează tabela MFT (NTFS Master File Table) și înlocuiește codul din zona MBR a discului de stocare cu o formă proprietară ce afișează mesajul de răscumpărare (ransom note).
Acest comportament aduce o caracteristică nouă față de alte versiuni de ransomware, în sensul că, adițional criptării fișierelor, se blochează inclusiv accesul la sistemul infectat.
Virusul criptează următoarele tipuri de fișiere (după extensie):
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
Pentru criptarea datelor, malware-ul utilizează AES-128 cu RSA, spre deosebire de versiunile anterioare care utilizau SALSA20.
În funcție de drepturile pe care malware-ul le are pe sistemul infectat, acesta va cripta:
Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin, evoluția plaților putând fi urmărită la adresa:
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Indicatori de compromis:
# Semnături hash SHA256:
f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE) 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL) 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL) 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE) eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998 (32-bit EXE)
# Adrese IP:
84.200.16.242
111.90.139.247
95.141.115.108
185.165.29.78
#File:
c:\windows\dllhost.dat
c:\windows\ (no extension)
%TEMP%\.tmp (EXE drop)
# Domenii web:
french-cooking.com
sundanders.online
casconut.xyz
blumbeerg.xyz
insurepol.in
whitefoam.org.uk
xfusion.co.uk
affliates.in
chyporus.in
coffeinoffice.xyz
dantan.club
kababmachatu.xyz
damodot.xyz
ballotvize.xyz
# Adresă de email:
Mai multe informații referitoare la indicatorii de compromis se pot obține de la următoarele adrese:
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
https://securelist.com/schroedingers-petya/78870/
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
Recomandări:
CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:
ATENȚIE!
CERT-RO nu încurajează plata pentru răscumpărarea fișierelor. În plus, adresa de mail indicată de atacatori pentru efectuarea plății a fost dezactivată în cursul zilei de ieri!
Postat în: alerte ransomware petya
Vizualizat de 48031 ori