Malver koji je pre dva dana zaključao računare u Evropi nije ransomware Petya

Opisi virusa, 29.06.2017, 10:00 AM

Malver koji je pre dva dana zaključao računare u Evropi nije ransomware Petya

Krivac za napad koji je u utorak paralisao sisteme velikih kompanija i državnih institucija pre svega u Evropi, ali i u ostatku sveta, možda nije ransomware Petya, kako se u početku mislilo, niti verzija malvera PetrWrap.

Malver definitivno liči na Petya ransomware. On koristi nešto od koda Petya ransomwarea, ali ima sebi svojstvene karakteristiike zbog čega je nazvan NotPetya (Petna, SortaPetya).

Prema rečima istraživača iz kompanije Kaspersky Lab, malver čeka 10 do 60 minuta posle infekcije da bi tek onda restartovao sistem, a kada to uradi, počinje enkripciju MFT tabele u NTFS particijama, prepisujući MBR svojim bootloaderom sa porukom o otkupnini.

NotPetya koristi 128-bitni AES ključ za enkripciju fajlova na inficiranom računaru (isti ključ koristi za sve fajlove), zatim šifruje taj ključ javnim 2048-bitnim RSA ključem koga će sačuvati u README fajlu. U teoriji, kada se plati otkupnina, napadači mogu koristiti svoj privatni RSA ključ za dešifrovanje sačuvanog AES ključa, koga žrtve mogu koristiti da bi vratile fajlove.

NotPetya ne šifruje sve fajlove sa odgovarajućim ekstenzijama na inficiranom računaru, već samo do prvog megabajta podataka. Verovatni razlog za to je ušteda vremena tokom procesa enkripcije, ali istovremeno, napadači šifrovanjem dovoljnog dela fajla žele da budu sigurni da žrtve neće moći da vrate fajlove bez plaćanja.

NotPetya koristi različite tehnike za upad u mreže i širenje kroz njih, sa računara na računar. Inicijalni vektor infekcije u ovoj kampanji bilo je inficirano ažuriranje za softver MeDoc, koji koriste mnoge kompanije u Ukrajini, koja je i najteže pogođena ovim napadom.

Tajming ažuriranja, koje se desilo 27. juna, odgovara početku napada malvera. Na MeDoc web sajtu pojavilo se obaveštenje da je njihove servere napao virus.

Napadači su za širenje malvera na druge sistema izgleda koristili modifikovanu verziju EternalBlue SMB exploita, bar delimično, zajedno sa WMI komandama, MimimKatz i PSExec.

MimiKatz je korišćen za izvlačenje lozinki administratora mreže iz memorije inficiranih računara. Windows PSExec i Windows Management Instrumentation (WMI) - alati za upravljanje sistemima kojih često ima na Windows računarima u kompanijama - korišćeni su za daljinsko kompromitovanje drugih sistema na lokalnoj mreži.

Bilo je i izveštaja da je malver isporučivan i preko fišing emailova, ali ako je to uopšte tačno, to svakako nije bio glavni metod.

Šta se može uraditi sada? Ako niste inficirani, ovo je trenutak da instalirate zakrpu za EternalBlue i EternalRomance (MS17-010) koji je Microsoft objavio u martu.

Ali to neće biti dovoljno. Čak i ako se server zakrpi, ako se laptop sistem administratora inficira malverom, on može iskoristiti njegove lozinke da bi inficirao sisteme bez obzira na primenu zakrpe za MS17-010. Kako se možete zaštiti od NotPetya malvera možete pogledati ovde.

Na prvi pogled, talas infekcije malverom NotPetya izgleda kao delo sajber kriminalaca koji su želeli da zarade. Ali stručnjaci smatraju da novac nije bio primarni cilj.

Najviše je žrtava u Ukrajini. Napad se dogodio dan pre Dana ustavnosti Uktajine zbog čega se najpre posumjalo na ruske hakere. Dokazi za to možda nikad neće biti pronađeni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi Android malver Catelites Bot oponaša 2200 aplikacija banaka

Novi dan, novi Android malver. Istraživači iz kompanija SfyLabs i Avast zajedno su analizirali novi malver nazvan Catelites Bot koji može da lažir... Dalje

Novi ransomware GlobeImposter se širi pomoću spam emailova

Novi ransomware GlobeImposter se širi pomoću spam emailova

Ako dobijete email sa fotografijom, naslovljen sa "Emailing: IMG_20171221_", oprezno, moguće je da je reč o emailu koji je poslat sa zadatkom da inf... Dalje

Malver Digmine se širi preko Facebook Messengera

Malver Digmine se širi preko Facebook Messengera

Korisnici Facebooka u nekoliko zemalja ciljevi su kampanje u kojoj se distribuira novi malver nazvan Digmine koji instalira majner kriptovalute Monero... Dalje

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Novi ransomware FileSpider se širi Balkanom, na meti korisnici u Srbiji, BIH i Hrvatskoj

Korisnici interneta u Srbiji, Bosni i Hercegovini i Hrvatskoj ciljevi su novog ransomwarea nazvanog FileSpider koji se širi preko spam emailova koji ... Dalje

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Malver Troubleshooter plaši korisnike ''plavim ekranom smrti'' - evo besplatnog rešenja

Zloglasni plavi ekran smrti (BSOD) je jedan od najstrašnijih prizora za korisnike Windowsa. Očigledno na to računaju autori novog malvera koji prik... Dalje