Các Petya Ransomware / Wiper đã tạo ra sự tàn phá ở châu Âu, và một cái nhìn thoáng qua về sự lây nhiễm lần đầu tiên được nhìn thấy ở Ukraine khi hơn 12.500 máy bị xâm phạm. Phần tồi tệ nhất là các bệnh nhiễm trùng cũng lây lan sang Bỉ, Brazil, Ấn Độ và cả Hoa Kỳ. Petya có khả năng sâu sẽ cho phép nó lây lan ngang qua mạng. Microsoft đã ban hành một hướng dẫn về cách thức xử lý Petya,
Petya Ransomware / Wiper
Sau sự lây lan của nhiễm trùng ban đầu, Microsoft hiện có bằng chứng cho thấy một số bệnh nhiễm trùng hoạt động của ransomware được quan sát đầu tiên từ quá trình cập nhật MEDoc hợp pháp. Điều này làm cho nó trở thành một trường hợp rõ ràng về các cuộc tấn công chuỗi cung ứng phần mềm đã trở nên khá phổ biến với những kẻ tấn công vì nó cần một sự bảo vệ ở mức độ rất cao.
Hình ảnh dưới đây cho thấy quá trình Evit.exe từ MEDoc đã thực hiện dòng lệnh sau đây, vector tương tự thú vị cũng được đề cập bởi Cảnh sát mạng Ukraine trong danh sách công khai về các chỉ báo thỏa hiệp. Điều đó đang được nói rằng Petya có khả năng
- Đánh cắp thông tin đăng nhập và sử dụng các phiên hoạt động
- Chuyển các tệp độc hại trên các máy bằng cách sử dụng các dịch vụ chia sẻ tệp
- Lợi dụng lỗ hổng SMB trong trường hợp máy chưa được vá.
Cơ chế chuyển động bên sử dụng trộm cắp thông tin xác thực và mạo danh xảy ra
Tất cả bắt đầu với Petya thả một công cụ bán phá giá thông tin xác thực, và điều này đến trong cả hai biến thể 32-bit và 64-bit. Vì người dùng thường đăng nhập bằng một số tài khoản cục bộ, nên luôn có khả năng một trong một phiên hoạt động sẽ được mở trên nhiều máy. Các thông tin bị đánh cắp sẽ giúp Petya đạt được mức truy cập cơ bản.
Sau khi thực hiện, Petya quét mạng cục bộ để tìm các kết nối hợp lệ trên cổng tcp / 139 và tcp / 445. Sau đó, trong bước tiếp theo, nó gọi subnet và cho mỗi người dùng mạng con tcp / 139 và tcp / 445. Sau khi nhận được phản hồi, phần mềm độc hại sau đó sẽ sao chép nhị phân trên máy từ xa bằng cách sử dụng tính năng truyền tệp và thông tin đăng nhập trước đó được quản lý để lấy cắp.
Psexex.exe được Ransomware giảm xuống từ một tài nguyên nhúng. Trong bước tiếp theo, nó quét mạng cục bộ để chia sẻ $ admin và sau đó sao chép chính nó qua mạng. Ngoài việc bán phá giá, phần mềm độc hại cũng cố lấy cắp thông tin đăng nhập của bạn bằng cách sử dụng chức năng CredEnumerateW để nhận tất cả thông tin xác thực người dùng khác từ cửa hàng thông tin xác thực.
Mã hóa
Phần mềm độc hại quyết định mã hóa hệ thống tùy thuộc vào mức đặc quyền của quy trình phần mềm độc hại và điều này được thực hiện bằng cách sử dụng thuật toán băm dựa trên XOR để kiểm tra giá trị băm và sử dụng nó làm loại trừ hành vi.
Trong bước tiếp theo, Ransomware ghi vào bản ghi khởi động chính và sau đó thiết lập hệ thống để khởi động lại. Hơn nữa, nó cũng sử dụng chức năng nhiệm vụ theo lịch trình để tắt máy sau 10 phút. Bây giờ Petya hiển thị một thông báo lỗi giả mạo theo sau là một tin nhắn Ransom thực tế như hình dưới đây.