Malver koji je pre dva dana zaključao računare u Evropi nije ransomware Petya

Opisi virusa, 29.06.2017, 10:00 AM

Malver koji je pre dva dana zaključao računare u Evropi nije ransomware Petya

Krivac za napad koji je u utorak paralisao sisteme velikih kompanija i državnih institucija pre svega u Evropi, ali i u ostatku sveta, možda nije ransomware Petya, kako se u početku mislilo, niti verzija malvera PetrWrap.

Malver definitivno liči na Petya ransomware. On koristi nešto od koda Petya ransomwarea, ali ima sebi svojstvene karakteristiike zbog čega je nazvan NotPetya (Petna, SortaPetya).

Prema rečima istraživača iz kompanije Kaspersky Lab, malver čeka 10 do 60 minuta posle infekcije da bi tek onda restartovao sistem, a kada to uradi, počinje enkripciju MFT tabele u NTFS particijama, prepisujući MBR svojim bootloaderom sa porukom o otkupnini.

NotPetya koristi 128-bitni AES ključ za enkripciju fajlova na inficiranom računaru (isti ključ koristi za sve fajlove), zatim šifruje taj ključ javnim 2048-bitnim RSA ključem koga će sačuvati u README fajlu. U teoriji, kada se plati otkupnina, napadači mogu koristiti svoj privatni RSA ključ za dešifrovanje sačuvanog AES ključa, koga žrtve mogu koristiti da bi vratile fajlove.

NotPetya ne šifruje sve fajlove sa odgovarajućim ekstenzijama na inficiranom računaru, već samo do prvog megabajta podataka. Verovatni razlog za to je ušteda vremena tokom procesa enkripcije, ali istovremeno, napadači šifrovanjem dovoljnog dela fajla žele da budu sigurni da žrtve neće moći da vrate fajlove bez plaćanja.

NotPetya koristi različite tehnike za upad u mreže i širenje kroz njih, sa računara na računar. Inicijalni vektor infekcije u ovoj kampanji bilo je inficirano ažuriranje za softver MeDoc, koji koriste mnoge kompanije u Ukrajini, koja je i najteže pogođena ovim napadom.

Tajming ažuriranja, koje se desilo 27. juna, odgovara početku napada malvera. Na MeDoc web sajtu pojavilo se obaveštenje da je njihove servere napao virus.

Napadači su za širenje malvera na druge sistema izgleda koristili modifikovanu verziju EternalBlue SMB exploita, bar delimično, zajedno sa WMI komandama, MimimKatz i PSExec.

MimiKatz je korišćen za izvlačenje lozinki administratora mreže iz memorije inficiranih računara. Windows PSExec i Windows Management Instrumentation (WMI) - alati za upravljanje sistemima kojih često ima na Windows računarima u kompanijama - korišćeni su za daljinsko kompromitovanje drugih sistema na lokalnoj mreži.

Bilo je i izveštaja da je malver isporučivan i preko fišing emailova, ali ako je to uopšte tačno, to svakako nije bio glavni metod.

Šta se može uraditi sada? Ako niste inficirani, ovo je trenutak da instalirate zakrpu za EternalBlue i EternalRomance (MS17-010) koji je Microsoft objavio u martu.

Ali to neće biti dovoljno. Čak i ako se server zakrpi, ako se laptop sistem administratora inficira malverom, on može iskoristiti njegove lozinke da bi inficirao sisteme bez obzira na primenu zakrpe za MS17-010. Kako se možete zaštiti od NotPetya malvera možete pogledati ovde.

Na prvi pogled, talas infekcije malverom NotPetya izgleda kao delo sajber kriminalaca koji su želeli da zarade. Ali stručnjaci smatraju da novac nije bio primarni cilj.

Najviše je žrtava u Ukrajini. Napad se dogodio dan pre Dana ustavnosti Uktajine zbog čega se najpre posumjalo na ruske hakere. Dokazi za to možda nikad neće biti pronađeni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje