Posted in Novosti

Kampanja širenja Petya/Petwrap: nove informacije

 Published Date: June 29, 2017

Kampanja širenja Petya/Petwrap: nove informacije

Juče smo skrenuli pažnju javnosti na novu globalnu kampanju širenja ransomver virusa te vam donosimo nove detalje.

Virus predstavlja varijantu „Petya“ ransomvera i poznat je pod više imena koja uključuju „PetWrap“, „NotPetya“, „ExPetr“ i „GoldenEye“. Ovaj virus ima slično ponašanje kao i originalna varijanta „Petya“ virusa, s tim da nova varijanta ima mogućnost širenja kroz mrežu.

Istraživači iz „Cisco Talos“-a tvrde da se virus inicijalno proširio korišćenjem zaraženih ažuriranja za informacioni sistem poreske uprave vlade Ukrajine pod nazivom „MeDoc“. Istog mišljenja su i istraživači iz „Microsoft“-a.

Iz kompanije koja je autor ovog programa su opovrgnuli ove optužbe.

Ponašanje „PetWrap“-a

Nakon inicijalne infekcije virus će sačekati 60 minuta prije nego što restartuje računar i pokrene lažni CHKDSK proces kojim enkriptuje podatke.

Za to vrijeme će pokrenuti alat za krađu kredencijala, sličan „Mimikatz“-u, koji će pretražiti računar u potrazi za validnim administratorskim ili domenskim kredencijalima.

Sljedeći korak je pozivanje DhcpEnumSubnets() metode kojima pokušava da prikupi podatke o podmrežama nakon čega pretražuje mrežu u potrazi za otvorenim TCP portovima 139 i 445.

Ukoliko virus dobije odgovor pokrenuće kopiranje izvršne datoteke korišćenjem ukradenih kredencijala. Nakon kopiranje pokušaće izvršiti datoteku korišćenjem „PSExec“ i „WMIC“ alata.

Podaci se ne mogu vratiti

Istraživačima još nije jasna motivacija napadača, jer sve više faktora upućuje da nije riječ o finansijski motivisanom napadu. Eksperti se slažu da nedostatak automatizacije prilikom plaćanja i vraćanja podatak, koji je karakterističan za većinu ozbiljnih napada, značajno umanjuje šansu za vraćanje podataka.

Korisnici moraju kucati duge nizove velikih i malih slova i bojeva kako bi ukucali identifikator računara i „bitcoin“ novčanik, što može dovesti do grešaka.

Drugi indikator je korišćenje e-mail adrese kod regularnog provajedera. Ova adresa je neaktivna te nije moguća korespodencija između napadača i žrtve koja bi htjela da plati otkupninu.

Preporuke

Kako bi ste zaštitili svoje računare preporučujem vam sljedeće korake:

  • U slučaju restartovanja i pokretanja CHKDSK procesa prekinite dovod napajanja do računara.
  • Privremeno isključite „WMIC“ (Windows Management Instrumentation Command-line) koji „Petwrap“ koristi da inficira i računara se ažurnim softverom.
  • Poželjno je blokiranje „PsExec“ alata na korisničkim računarima.
  • U C:Windows direktorijumu napravite datoteku sa imenom perfc bez ekstenzije.
  • Obavezno primijenite ažuriranje MS17-010, objavljeno od strane „Microsoft“ 14. marta ove godine.
  • Blokirajte eksterni pristup TCP portovima 139 i 445.
  • Obavijestiti CERT Republike Srpske putem e-mail adrese oib-cert@aidrs.org [O1]  ili putem veb stranice  https://oib.aidrs.org
  • NE PLAĆATI „bitcoinotkupninu (oko 300 USD) jer ista ne garantuje povrat podataka. Poruke koje zahtijevaju otkupninu korisnike upućuju na e-mail adresu wowsmith123456[@]posteo[.]net koju je njemački e-mail provajder „Posteo“ onemogućio tako da napadač nema način da vam pošalje dekripcione ključeve.
  • Ne otvarajte e-mail poruke nepoznatih pošiljaoca, pored toga obratite pažnju na „Excel“ dokumente koje možete dobiti u e-mail porukama, jer su zabilježeni slučajevi širenja virusa eksploatacijom CVE-2017-0199 ranjivosti u „Microsoft Excel“.
  • Napravite „backup“ najbitnijih podataka.

 

Izvori:

thehackernews.com

securityweek.com

threatpost.com

blog.cisco.com

 

Leave a Reply