Разное

Petya perfc file creation что это: У шифровальщика Petya нет аварийного «рубильника», но исследователи нашли «вакцину»

Содержание

У шифровальщика Petya нет аварийного «рубильника», но исследователи нашли «вакцину»

27 июня 2017 года, спустя чуть больше месяца после массовых атак шифровальщика WannaCry, компании и пользователей по всему миру настигла новая угроза, шифровальщик Petya (также известный под названиями NotPetya, SortaPetya и Petna).

Вымогатель не просто шифрует файлы, но также шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы. Более того, в настоящее время платить выкуп попросту бесполезно, так как адрес [email protected], по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.

В мае 2017 года распространение WannaCry удалось быстро свести к минимуму благодаря усилиям всего одного независимого ИБ-специалиста. Тогда британский исследователь MalwareTech обнаружил в коде малвари своеобразный «аварийный рубильник»: перед началом работы вымогатель обращался к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинала шифровать файлы. Однако если домен существует, вымогатель останавливал процесс заражения. Исследователь поспешил зарегистрировать этот домен, чем резко затормозил распространения WannaCry.

В коде Petya ничего подобного пока найти не удалось. И хотя Petya – это совсем не новая угроза (первые версии шифровальщика были обнаружены еще в начале 2016 года), и экспертам удавалось взломать старые версии шифровальщика, пострадавшие сообщают, что те методы, к сожалению, не работают для новой версии.

Тем не менее, хорошие новости у ИБ-специалистов все же есть. Исследователь Cybereason Амит Серпер (Amit Serper) создал своего рода «вакцину» от Petya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT Security, TrustedSec и Emsisoft.

Таким образом, чтобы «вакцинировать» свое устройство от атак Petya стоит не только установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика, но и создать в директории C:\Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only). Конечно, следует понимать, что злоумышленники могут в любой момент модифицировать свою малварь таким образом, что файл perfc перестанет что-либо значить.

98% sure that the name is is perfc.dll Create a file in c:windows called perfc with no extension and #petya #Nopetya won’t run! SHARE!! https://t.co/0l14uwb0p9

— Amit Serper (@0xAmit) June 27, 2017

Как работает вирус Petya (Петя) и как от него защититься — СКБ Контур

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель —  нанесение массового ущерба. 

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe. 
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК». 

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.  

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы. 
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Узнать больше

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться. 

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.    

Все, что вы хотели узнать о NotPetya, но боялись спросить

Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним


Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя NotPetya. И эта кампания оказалась вовсе не связана с WannaCry.


Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.


Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия NotPetya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.


После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).


В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.


За несколько часов число транзакций увеличилось втрое.

NotPetya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет NotPetya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.


В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, NotPetya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.


О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки NotPetya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).


Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.


С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.


Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.


Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.


В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.


Для выявления атаки NotPetya в инфраструктуре могут быть использованы следующие индикаторы:

  • C:\Windows\perfс
  • Задача в планировщике Windows с пустым именем и действием (перезагрузка) «%WINDIR%\system32\shutdown.exe /r /f»

Срабатывание правил IDS/IPS:

  • msg: «[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001254; rev: 2;
  • msg: «[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE»; sid: 10001255; rev: 3;
  • msg: «[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001256; rev: 2;
  • msg: «[PT Open] Petya ransomware perfc.dat component»; sid: 10001443; rev: 1
  • msg:»[PT Open] SMB2 Create PSEXESVC.EXE»; sid: 10001444; rev:1

Сигнатуры:

petya — Вики

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

История

Первые версии в 2016

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен, как следующий шаг в развитии программ-вымогателей»[8]. За восстанов­ле­ние доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017

27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5]. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который зло­умыш­лен­ни­ки просят отправить данные после осуществления платежа, уже заблокирован провайдером[12][2]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы рас­про­с­тра­нять­ся максимально быстро[13]. В компании «ESET» заявили, что рас­про­с­тра­не­ние вредо­нос­ной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc[14]. Атаке подверглись энергетические компании[15], украинские банки[16], аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[22][14][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчетности[25]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[23]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

Цели атаки

Кто стоит за началом эпидемии вируса Petya, пока непонятно, но, по мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[30][31].

Защита

Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[23].

Название

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya. Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

См. также

Примечания

  1. ↑ ExPetr интересуется серьезным бизнесом (неопр.). blog.kaspersky.ru. Дата обращения: 28 июня 2017.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr (неопр.). Kaspersky Lab. Дата обращения: 28 июня 2017.
  3. 1 2 Petya ransomware eats your hard drives (неопр.). Kaspersky Lab (30 марта 2016). Дата обращения: 27 июня 2017.
  4. ↑ Ransom.Petya (неопр.). Symantec | United States (29 марта 2016). Дата обращения: 27 июня 2017.
  5. 1 2 3 4 Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Дата обращения 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя (неопр.). Газета.Ру (29 июня 2017). Дата обращения: 29 июня 2017.
  7. ↑ Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20 (рус.). Дата обращения 7 июля 2017.
  8. ↑ Decrypting the Petya Ransomware (неопр.). Check Point Blog (11 апреля 2016). Дата обращения: 28 июня 2017.
  9. ↑ Вымогатель Petya шифрует жесткие диски (неопр.). blog.kaspersky.ru. Дата обращения: 28 июня 2017.
  10. Constantin, Lucian. Petya ransomware is now double the trouble (англ.), Network World. Дата обращения 28 июня 2017.
  11. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa (неопр. ). blog.kaspersky.ru. Дата обращения: 28 июня 2017.
  12. ↑ Hacker Behind Massive Ransomware Outbreak Can’t Get Emails from Victims Who Paid (англ.)  (неопр.) ?. Motherboard. Дата обращения: 28 июня 2017.
  13. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains (англ.), WIRED UK. Дата обращения 28 июня 2017.
  14. 1 2 Лаборатория ESET назвала Украину источником заражения вирусом Petya (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  15. ↑ «Киевэнерго» подверглось хакерской атаке, проблемы ощутило и «Укрэнерго», Интерфакс-Украина. Дата обращения 28 июня 2017.
  16. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины (рус.). strana.ua. Дата обращения: 28 июня 2017.
  17. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  18. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим (рус.)  (неопр.) ?. Новости Mail.Ru. Дата обращения: 28 июня 2017.
  19. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку (неопр.). bank.gov.ua. Дата обращения: 28 июня 2017.
  20. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний, Пятый канал. Дата обращения 28 июня 2017.
  21. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Дата обращения 17 июля 2017.
  22. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки, RUS Delfi (1498635301). Дата обращения 28 июня 2017.
  23. 1 2 3 4 5 Solon, Olivia. What is the Petya ransomware attack, and how can it be stopped? (англ. ), The Guardian (27 июня 2017). Дата обращения 28 июня 2017.
  24. ↑ Huge cyber attack spreading across the world (англ.), The Independent (27 июня 2017). Дата обращения 28 июня 2017.
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent «medoc1001189». (неопр.). @CyberpoliceUA (27 июня 2017). Дата обращения: 28 июня 2017.
  26. ↑ M.E.Doc (рус.). www.facebook.com. Дата обращения: 28 июня 2017.
  27. ↑ New ransomware, old techniques: Petya adds worm capabilities (англ.), Windows Security. Дата обращения 28 июня 2017.
  28. ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.)  (неопр.) ?. krebsonsecurity.com. Дата обращения: 28 июня 2017.
  29. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak (неопр.). the grugq (27 июня 2017). Дата обращения: 28 июня 2017.
  30. Lee, David. ‘Vaccine’ created for huge cyber-attack (англ.), BBC News (28 June 2017).
  31. ↑ Cyberattack Hits Ukraine Then Spreads Internationally (неопр.). The New York Times (June 27, 2017). Дата обращения: 28 июня 2017.
  32. ↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 — MSPoweruser (англ.), MSPoweruser (13 мая 2017). Дата обращения 28 июня 2017.
  33. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file «C:\Windows\perfc»pic.twitter.com/zlwB8Zimhv (неопр.). @PTsecurity_UK (27 июня 2017). Дата обращения: 7 июля 2017.

Как удалить или защититься от вируса вымогателя Petya?

Petya вирус – очередной вымогатель, который блокирует файлы пользователя. Этот вымогатель может быть очень опасным и заразить любой ПК, но его основной целью являются компьютеры компаний.

Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа. Подобно другим вимогателям, как Locky virus, CryptoWall virus, и CryptoLocker, этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.

В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”.

Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “Нажмите любую клавишу”.

Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.

Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как Reimage, чтобы позаботиться о удалении Petya.

Как распространяется этот вирус и как он может войти в компьютер?

Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки. Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете.

Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги. Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.

Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически. Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера. Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, вы всегда можете проверить инструкцию удаления.

Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

Windows 7 / Vista / XP Щелкните Start → Shutdown → Restart → OK.
Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
В списке выберите Safe Mode with Networking

Windows 10 / Windows 8В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
Теперь выберите Troubleshoot → Advanced options → Startup Settings и нажмите Restart.
Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking.

Шаг 2: Удалить Petya
Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление Petya.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

Windows 7 / Vista / XP
Щелкните Start → Shutdown → Restart → OK.
Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
В списке выберите Command Prompt

Теперь введите rstrui.exe и снова нажмите Enter.

После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению Petya. После этого нажмите Next. В появившемся окне ‘System Restore’ выберите ‘Next’

Выберите Вашу точку восстановления и щелкните ‘Next’
Теперь щелкните Yes для начала восстановления системы. Щелкните ‘Yes’ и начните восстановление системы После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер убедитесь, что удаление прошло успешно.

Вредоносная кампания Petya была запущена 27 июня и за считанные часы угроза инфицировала огромное количество компьютеров по всему миру. Шифровальщик блокирует разделы MFT и MBR на жестком диске и препятствует нормальной загрузке компьютеров. Если жертвы не желают платить выкуп, то действенного способа для восстановления файлов на данный момент не существует.

Первоначально исследователи полагали, что новый троян-вымогатель стал обновленной версией старой угрозы под названием Petya. Однако, позже выяснилось, что исследователи имеют дело с новым видом шифровальщика, который заимствовал часть кода от Petya. Вот почему программа-вымогатель была переименована и теперь часто встречается как NotPetya, Petna или SortaPetya.

Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.

Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.

Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security, TrustedSec, Emsisoft и Symantec.

Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.

Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.

Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который автоматически выполняет все действия.

Загрузить данный файл можно по следующей ссылке – nopetyavac.bat. Скачайте и запустите файл на компьютере от имени администратора.

Обратите внимание, что bat-скрипт также будет создавать два дополнительных файла, которые называются perfc.dat и perfc.dll. Хотя тестирование данного способа выполнялось без них, автором метода была получена информация, что эти дополнительные файлы необходимы для надежности работы вакцинации.

Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид”. Убедитесь, что в “Параметры папок > Вид” отключена опция “Скрывать расширения для зарегистрированных типов файлов” (галочка не отмечена).

Затем откройте папку C:Windows и прокрутите вниз, пока не увидите программу notepad.exe.

Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl + C , чтобы скопировать, а затем Ctrl + V , чтобы вставить его. При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.

Нажмите кнопку “Продолжить”, и будет создана копия блокнота: notepad — копия.exe. Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала – notepad — копия.exe и введите perfc, как показано ниже.

После того как имя файла было изменено на perfc, нажмите Enter на клавиатуре. Теперь вы получите запрос, действительно ли вы хотите переименовать файл.

Нажмите “Да”, а затем “Продолжить”.

Теперь, когда файл perfc был создан, нужно установить атрибут доступа “Только чтение”. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.

Откроется меню свойств этого файла. Внизу нужно установить флажок “Только чтение”. Установите галочку, как показано на рисунке ниже.

Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто.

Для надежности вакцинации повторите те же действия, создав файлы C:Windowsperfc.dat и C:Windowsperfc.dll.

Теперь ваш компьютер будет защищен от шифровальщика NotPetya / SortaPetya / Petya.

«Петя» — так называется виртуальный вредитель, он распространяется через электронную почту и шифрует данные на жестком диске. Для этого пользователю достаточно лишь открыть полученное письмо — и компьютер зависает. При попытке перезагрузить или включить/выключить устройство вирус Петя «прописывается» в системе. Как вариант, его можно заполучить через программу электронного документооборота MEDoc, особенно после ее обновления и перезагрузки компьютера с целью активации.

Специалисты оценивают такую перспективу весьма скептически. Многие считают, что для компьютеров, которые атаковал вирус Петя, лечение невозможно.

«Петя» — это неофициальное пользовательское название вируса. Айтишники называют этот вирус-вымогатель чуть иначе — mbr locker 256.

mbr — это так называемая загрузочная часть. При следующем после попадания вируса включении компьютера BIOS грузит mbr в оперативную память, присваивает ему адрес 0x7C00 и передает управление данными. После этого вирус вымогатель petya имеет возможность делать с ними, что угодно. Например, блокировать, что и происходит.

Подвержены этой напасти исключительно компьютеры на базе Windows, мобильные устройства от «Пети» не страдают. Также специалисты IT-сферы уже вычислили, что наш вирус petya — это аналог вируса WannaCry, «гулявшего» по Сети в мае 2017 года и нанесшего миллиардный ущерб экономике мира.

Сперва пострадали крупные компании, имеющие реальное влияние на экономику Украины. Из компьютеров, на которые попал вирус шифровальщик petya, исчезла информация, данные клиентов, внутренняя документация. Разумеется, крупные компании делают back up — резервную копию — и потому имеют возможность вскоре восстановить данные. Но уже на другом не зараженном компьютере, на который не была предпринята атака petya. Поэтому о победе над вирусом было отрапортовано достаточно быстро.

Подразумевалось ли под победой применение мер по остановке вируса или просто восстановление данных на другом устройстве — это уже внутреннее дело компаний. В любом случае, вирус Петя новости принес печальные, и список пострадавших выглядит внушительно.

Сегодня, 27 июня, Украину атаковал компьютерный вирус Petya A. От него уже пострадал ряд украинских государственных компаний, а также Кабинет Министров. Однако от вируса можно «излечиться».

Не нажимайте на ссылки из неизвестных вам источников, пришедшие по электронной почте. На данный момент это самый частый случай заражения вирусом-шифровальщиком.

КАК «ПЕТЯ» ПОПАДАЕТ В КОМПЮТЕР

Команда антивирусной программы Kaspersky Lab выяснила, что основная цель вируса — корпоративные пользователи: шифровальщик попадает на ПК с помощью спама, притворяясь письмом от кандидата на ту или иную должность. Стандартный сценарий заражения выглядит так:

HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением .EXE.

После того как пользователь решается открыть «резюме», перед ним оказывается не документ с информацией об опыте работы кандидата, а синий экран смерти. Это значит, что «Petya A» попал на ПК пользователя и приступил к своим черным делам.

КАК ЗАЩИТИТЬСЯ ОТ ВИРУСА-ВЫМОГАТЕЛЯ

– Регулярно делайте резервные копии всех важных файлов. Желательно, чтобы у вас было два бэкапа: один в облаке, например в Dropbox, Google Drive и других специализированных сервисах. А другой на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук).

– Для этого устройства установите ограниченные права доступа только на чтение и запись, без возможностей удаления или перезаписи. Резервные копии пригодятся вам и в других случаях — если вы случайно удалите важный файл или при поломке основного жесткого диска.

– Преступники часто создают фальшивые письма, похожие на сообщения от интернет-магазинов или банков, чтобы распространять вредоносное ПО, — это называется «фишинг». Так что настройте спам-фильтр в почте и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми.
Не доверяйте никому. Такой вирус могут прислать со взломанного аккаунта вашего друга в Skype или «ВКонтакте», товарища по онлайн-играм или даже коллеги с работы.

– Включите функцию «Показывать расширения файлов» в настройках. Так вам будет легче разобраться, какой файл является опасным. Трояны — это программы, значит, опасаться нужно в первую очередь подозрительных файлов с расширениями «exe», «vbs» и «scr».
Регулярно устанавливайте обновления для вашей ОС, браузера, антивируса и другого ПО. Преступники используют «дыры» в программном обеспечении, чтобы заразить устройства пользователей.

– Установите надежный антивирус, который умеет бороться с троянами-вымогателями.

– Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троян-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы.

Как вылечиться от вируса-шифровальщика?

1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.

2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.

3. Чтобы удалить вирус, вам необходимо скачать со здорового компьютера загрузочный диск с антивирусом, который способен вылечить компьютер от «Пети». Это умеют например ESET NOD32 LiveCD или Kaspersky Rescue Disk.

После скачивания, по инструкции запишите загрузочный диск на флешку и загрузите компьютер с него. Далее антивирус все сделает сам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

Есть и более сложный способ, однако пользоваться им стоит на свой страх и риск.

Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.

Чтобы снять информацию с поврежденных дисков, можно воспользоваться инструментом Petya Sector Extractor для извлечения необходимой информации с диска.

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области.

Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).

Затем вернуться к утилите, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.

Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.

Вирус Petya: как защититься

Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:Windows, прокрутите вниз, пока не увидите программу notepad.exe.
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: windows perfc создать файлы C: Windows perfc.dat и C: Windows perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Как защититься от вируса Petya, парализовавшего целые города?

Одним из главных событий этой недели уже стала новая вирусная атака на Россию и Украину. Совершенно неожиданно начали появляться сообщения о заражении компьютеров самых разных предприятий. Сейчас количество пострадавших компаний исчисляется десятками, сотнями или даже тысячами. В данной статье мы написали инструкцию, как защитить себя от этого вируса и что нужно делать в случае заражения.

В России о заражении сообщили «Башнефть», «Роснефть» и «Рязанская нефтеперерабатывающая компания». На Украине атаке были подвержены крупные энергокомпании, банки, мобильные операторы, почтовые компании, большие магазины, такие как «Ашан», «Эпицентр» и METRO, и даже аэропорт «Борисполь». Многие магазины были вынуждены остановить свою работу, люди не могут снять деньги в банкоматах, а в киевском метро нельзя оплатить проезд банковской картой или смартфоном.

Вирус Petya опасен исключительно для компьютеров под управлением Windows. При этом есть информация, что даже установка самых последних обновлений системы и безопасности не спасает от него. Кроме того, наличие антивируса также не гарантирует вам безопасность. Но защититься от этого вируса всё же можно, и это не составит особого труда: достаточно закрыть на компьютере определённые TCP-порты. Мы подготовили подробные инструкции для пользователей Windows 7 и Windows 10.

Как защититься от вируса Petya на Windows 7:

  • зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;
  • в открывшемся окне выберите пункт «Дополнительные параметры»;
  • в левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;
  • выберите «Для порта» и нажмите «Далее»;
  • в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
  • нажмите «Далее»;
  • в следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
  • примените правило для всех профилей и закончите процедуру;
  • аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

Как защититься от вируса Petya на Windows 10:

  • через встроенный поиск Windows введите «брандмауэр» и запустите соответствующую службу;
  • в левой панели выберите «Правила для входящих подключений»;
  • затем в правой панели нажмите «Создать правило»;
  • в открывшемся окне выберите «Для порта» и нажмите «Далее»;
  • в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
  • в новом окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
  • примените правило для всех профилей и нажмите «Далее»;
  • в последнем окне вам нужно указать любое имя для правила и нажать «Готово»;
  • повторите всю процедуру для «Правила для исходящих подключений».

Если вы всё же «поймали» вирус Petya, то необходимо сразу же отключить все остальные компьютеры от сети, а заражённую машину выключить любым способом. Затем необходимо загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жёсткий диск/SSD-накопитель и подключить его к другому компьютеру для переноса всех важных данных.

Как удалить или защититься от вируса вымогателя Petya?

Недавно многие интернет ресурсы и компьютеры пользователей подверглись атаке, за ней стоял вирус-вымогатель Petya. Были заблокированы сайты крупнейших госучреждений, от Ощадбанка и сайта правительства до Новой почты и т.д. За последнее время Petya/NoPetya является самым масштабным вирусом, который поразил множество компьютеров. Благо, как и от любого вируса, от него есть возможность защититься и удалить, только ничего не стоит делать самостоятельно.

Petya вирус: как работает?

Компьютерный вирус Петя относится к нише шифровальщиков, он проникает в систему и провоцирует перезапуск системы, а во время загрузки ОС шифрует файлы, а также реестр. По окончании процесса показывается сообщение, в котором требуется выкуп в 300-400$ на биткоин счет, затем придет пароль для обратной расшифровки файлов.

Особенность вируса в том, что он поражает систему необратимым образом и доступа к её функциям нет вовсе. Наибольшее распространение приобрел на территории Украины и России. Эксперты еще устанавливают пути заражения вирусом, но сегодня считается, что он проникал через фальшивое обновление известной программы M.E.Doc. Механизм действия вируса построен на использовании уже известной уязвимости ETERNALBLUE, которая была задействована у печально известной Wanna Cry, а также эксплойт ETERNALROMANCE. При помощи подбора паролей и указанных дыр в защите Windows вирус распространялся и поражал все компьютеры в рамках одной локальной сети.

Настолько широкого распространения как у Wanna Cry вирус не приобрел, так как распространение через сеть не происходит, но использование обоих эксполойтов помогает заразить все компьютеры локальной системы.

Вирус Петя: как удалить?

Вирус Петя защита не всегда помогает, тем более, что на стадии распространения многие антивирусы не распознавали файл в качестве вируса. Столь масштабное поражение ПК не было проигнорировано разработчиками антивирусных сигнатур и риск в дальнейшем столкнуться с вирусом невысок, а вот другие модификации встретить возможно.

Сразу после проникновения в ПК вирус перезапускает его, процедура выполняется принудительно. В процессе загрузки появляется окно, в котором предлагается выполнить процедуру восстановления системы. Ничего не подозревающий пользователь нажимает Enter и начинается процесс шифрования. На самом деле окно, которое подделано под системное CHKDSK, не является оригинальным, таким образом пользователь подтверждает действия вируса.

Не стоит идти на поводу, просто перезагрузить ПК повторно. При помощи F9 перейти к выбору накопителя и перейти на другой диск, если такой есть. Далее необходимо с рабочего стола Windows выполнить сканирование системы на предмет наличия вирусов, сегодня уже практически все передовые антивирусы правильно распознают шифровальщик и позволят удалить его.

Иначе просто выполнить загрузку при помощи диска восстановления (установочный диск или флешка).

Вирус Петя: как защититься?

Вирус Петя как не поймать его на свой компьютер, а соответственно защитить свои данные? Сразу после проявления вируса, его образец поступил ко многим продвинутым администраторам, которые пытались найти методы борьбы с Petya. Сам вирус использует уязвимости системы для проникновения и поражения ее, а программисты нашли уязвимости в коде вредителя.

От пользователя требуется минимальное количество действий, нужно создать файл perfc, который должен находиться в каталоге C:Windows и иметь параметр «Только чтение». Нельзя назвать метод панацеей, так как дальнейшие модификации вируса обойдут это ограничения и проблема появится снова, но до того времени появится полноценная защита со стороны антивирусов.

Процесс создания файла:

  1. Изначально стоит сделать доступными расширения файлов для редактирования. Необходимо открыть любую папку и нажать на «Упорядочить» и выбрать «Параметры папок и поиска», если у вас десятка, то пункт можно найти в разделе «Файл»;
  2. Перейти во вкладку «Вид» и пролистать перечень к концу, снять галочку с раздела «Скрывать расширения для зарегистрированных типов файлов»;
  1. Теперь создайте или скопируйте любой файл на диске;
  1. ПКМ по нему и «Переименовать», не стоит менять уже имеющиеся файлы, иначе может возникнуть ошибка;
  2. Введите имя perfc, никаких расширений стоять не должно и подтвердите окно предупреждения;
  3. ПКМ по созданному защитному файлу и установить галочку возле «Только чтение».

В большей мере направленность вируса приходится на корпоративные сети, таким образом компания теряет колоссальные средства за простой и это может подвигнуть заплатить вымогателю. Существуют общие способы защиты от всех видов вирусов.

Вирус вымогатель Петя – способы защиты

Команда из Kaspersky Lab определила, что ко многим компаниям на компьютер проник вирус через банальные ссылки на облако, обычно отсылаются файлы типа резюме.

Когда Вирус Петя атаковал, то уже поздно предпринимать действия для защиты, разве что нужно сразу отключить локальную сеть, поэтому нужно защититься предварительно:

  1. Бекапы – это основа любого бизнеса, без них присутствует высокий риск потери важнейших данных. Важно делать 2 копии: первая хранится на облаке, вторая на обычном съемном диске и заблокировать доступ к редактированию и изменению файлов на накопителе;
  2. Фишинг – подделка сайтов, писем и т.д. от других организаций, например, банков, магазинов, интернет ресурсов информационного характера. Помимо подделанного текста всегда в сообщении есть ссылка на страницу, которая загрузит файл, скрипт и система будет поражена вирусом;
  3. Взлом – друзей, знакомых могут взломать в Skype, ВК, Gmail, Facebook и т.д. не стоит доверять никому, иначе можно получить вирус Petya;
  4. Загружая файлы из сети обратите внимание на расширения, самые опасные – exe, vbs и scr.
  5. Выполняйте обновления антивируса, ОС.

Заключение

Новый вирус Петя по сути использует уже известные уязвимости с целью получения прав администратора, потом вводит пользователя в заблуждение поддельным окном восстановления. Таким образом, когда вы уже знаете алгоритм действия Petya/NoPetya, можно не попасть на удочку злоумышленников.

Вирус Petya: все, что вам нужно знать об этом вирусе

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже – зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор “Петя” или, как его еще называют, “Petya”. Темпы распространения данный угрозы очень впечатляют: за пару дней он смог “побывать” в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно вирус Wanna Cry.

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя “Петя”. В этой статье я расскажу вам о том, что это за вирус “Petya”, как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус “Petya”?

Для начала нам стоит понять, чем же является Petya. Вирус Петя – это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно “отбирает” у вас весь жесткий диск целиком.

Правильное название нового вируса – Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса “Petya”

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table – главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск – это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо “файл” на вашем ПК. Если быть еще точнее, то после “работы” Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время – он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп – 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт (“дыра”) в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который “закрывает” эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель “Пети” смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

  • Самое главное и основное – возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
  • Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
  • Активируйте опцию “Показывать расширения файлов” в настройках ОС – так вы всегда сможете увидеть истинное расширение файлов.
  • Включите “Контроль учетных записей пользователя” в настройках Windows.
  • Необходимо установить один из лучших антивирусов, чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус – и вы уже будете в гораздо большей безопасности, чем раньше.
  • Обязательно делайте “бэкапы” – сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные – вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
  • Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
  • Установите бесплатную утилиту Kaspersky Anti-Ransomware. Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл – просканируйте ваш диск одной из утилит для удаления вредоносного ПО или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус Wanna Cry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя – прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными – то у вас есть несколько путей.

  • Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
  • Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom.
  • Форматирование диска и установка операционной системы. Минус – все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как “Башнефть” и “Роснефть”. Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся – “а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить – нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac – можете спать спокойно, вам ничего не угрожает.

“PETYA” — как удалить вирус вымогатель.

PETYA — это вирус-вымогатель. Очередная его версия поразила вчера многие компьютеры по всему миру. В данной модификации было добавлено использование тех же уязвимостей, которые эксплуатировал WannaCry. Особо серьезной атаке подверглись государственные учреждения, банки и крупные корпорации.

Как вымогатель Petya заражает компьютер?

Это новая модификация вируса, известного уже давно. Текущая реализация «Petya» шифрует MBR — загрузочный сектор диска и заменяет его своим собственным. Далее вирус пытается зашифровать уже все файлы на диске (правда не всегда). Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Данный вирус позаимствовал способ заражения через уязвимости в ОС у нашумевшего в мае WannaCry. Несмотря на то, что к предыдущей версии вируса Petya известны дешифраторы, для данной реализации они не применимы.

Важно! Для перезаписи MBR вымогателю необходима перезагрузка компьютера, что пользователи часто и делают в панике.

Поэтому прежде всего, при заражении НЕ ВЫКЛЮЧАЙТЕ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep». И конечно отключите от интернета.

Как определить заражение вирусом PETYA?

Для этого достаточно проверить, существует ли файл %WINDIR%perfc.dat.
Если файл существует — вы заражены. НЕ ВЫКЛЮЧАЙТЕ КОМПЬЮТЕР!

Кроме того, крайне необходимо установить критические обновления MS017-010.

И наконец, если вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ ко всем файлам.

Инструкция по ручному удалению вируса PETYA

Для того, чтобы самостоятельно избавиться от PETYA, вам необходимо последовательно выполнить все шаги, которые я привожу ниже:

    Поискать «PERFC.DAT» в списке установленных программ и удалить ее.

Открыть Диспетчер задач и закрыть программы, у которых в описании или имени есть слова «PERFC.DAT». Заметьте, из какой папки происходит запуск этой программы. Удалите эти папки.

Запретить вредные службы с помощью консоли services.msc.

Удалить “Назначенные задания”, относящиеся к PETYA или PERFC.DAT, с помощью консоли taskschd.msc.

С помощью редактора реестра regedit.exe поискать ключи с названием или содержащим «PERFC.DAT» в реестре.

Проверить ярлыки для запуска браузеров на предмет наличия в конце командной строки дополнительных адресов Web сайтов и убедиться, что они указывают на подлинный браузер.

Проверить плагины всех установленных браузеров Internet Explorer, Chrome, Firefox и т.д.

Проверить настройки поиска, домашней страницы. При необходимости сбросить настройки в начальное положение.

  • Очистить корзину, временные файлы, кэш браузеров.
  • И все же автоматика лучше!

    Если ручной метод — не для вас, и хочется более легкий путь, существует множество специализированного ПО, которое сделает всю работу за вас. Я рекомендую воспользоваться UnHackMe от Greatis Software, выполнив все по пошаговой инструкции.
    Шаг 1. Установите UnHackMe. (1 минута)
    Шаг 2. Запустите поиск вредоносных программ в UnHackMe. (1 минута)
    Шаг 3. Удалите вредоносные программы. (3 минуты)

    UnHackMe выполнит все указанные шаги, проверяя по своей базе, всего за одну минуту.

    При этом UnHackMe скорее всего найдет и другие вредоносные программы, а не только PETYA.

    При ручном удалении могут возникнуть проблемы с удалением открытых файлов. Закрываемые процессы могут немедленно запускаться вновь, либо могут сделать это после перезагрузки. Часто возникают ситуации, когда недостаточно прав для удалении ключа реестра или файла.

    UnHackMe легко со всем справится и выполнит всю трудную работу во время перезагрузки.

    И это еще не все. Если после удаления PETYA какие то проблемы остались, то в UnHackMe есть ручной режим, в котором можно самостоятельно определять вредоносные программы в списке всех программ.

    Итак, приступим:

    Шаг 1. Установите UnHackMe (1 минута).

    1. Скачали софт, желательно последней версии. И не надо искать на всяких развалах, вполне возможно там вы нарветесь на пиратскую версию с вшитым очередным мусором. Оно вам надо? Идите на сайт производителя, тем более там есть бесплатный триал. Запустите установку программы.

    Затем следует принять лицензионное соглашение.

    И наконец указать папку для установки. На этом процесс инсталляции можно считать завершенным.

    Шаг 2. Запустите поиск вредоносных программ в UnHackMe (1 минута).

    1. Итак, запускаем UnHackMe, и сразу стартуем тестирование, можно использовать быстрое, за 1 минуту. Но если время есть — рекомендую расширенное онлайн тестирование с использованием VirusTotal — это повысит вероятность обнаружения не только PETYA, но и остальной нечисти.

    Мы увидим как начался процесс сканирования.

    Шаг 3. Удалите вредоносные программы (3 минуты).

    1. Обнаруживаем что-то на очередном этапе. UnHackMe отличается тем, что показывает вообще все, и очень плохое, и подозрительное, и даже хорошее. Не будьте обезьяной с гранатой! Не уверены в объектах из разряда “подозрительный” или “нейтральный” — не трогайте их. А вот в опасное лучше поверить. Итак, нашли опасный элемент, он будет подсвечен красным. Что делаем, как думаете? Правильно — убить! Ну или в английской версии — Remove Checked. В общем, жмем красную кнопку.
  • После этого вам возможно будет предложено подтверждение. И приглашение закрыть все браузеры. Стоит прислушаться, это поможет.
  • В случае, если понадобится удалить файл, или каталог, пожалуй лучше использовать опцию удаления в безопасном режиме. Да, понадобится перезагрузка, но это быстрее, чем начинать все сначала, поверьте.

    Ну и в конце вы увидите результаты сканирования и лечения.

    Итак, как вы наверное заметили, автоматизированное лечение значительно быстрее и проще! Лично у меня избавление от PETYA заняло 5 минут! Поэтому я настоятельно рекомендую использовать UnHackMe для лечения вашего компьютера от любых нежелательных программ!

    Андрей “Вирусолог”

    Андрей – обычный парень, который пользуется компьютером каждый день, и ненавидит, когда неприятности наполняют его жизнь. А еще он любит петь. Но не переживайте, его голос не будет досаждать вам. Только текст )

    Как победить вирус Petya

    Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

    Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

    Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

    После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

    В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

    На данный момент число транзакций увеличилось до 45.

    Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

    В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

    Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

    О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

    Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:Windows (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

    Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

    Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

    С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:Windows, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
    Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

    Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

    В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

    Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

    Поделиться с друзьями:

    Твитнуть

    Поделиться

    Поделиться

    Отправить

    Класснуть

    Как удалить или защититься от вируса вымогателя Petya?
    Ссылка на основную публикацию

  • Как победить вирус Petya

    Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya.

    Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

    Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

    Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

    После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

    В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

    На данный момент число транзакций увеличилось до 45.

    Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

    В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

    Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

    О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

    Эксперты Positive Technologies выявили «kill-switch» – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

    Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

    Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

    С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

    Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

    Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

    В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

    Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

    • C:\Windows\perfс
    • Задача в планировщике Windows с пустым именем и действием (перезагрузка)
    • «%WINDIR%\system32\shutdown.exe /r /f»

    Срабатывание правил IDS/IPS:

    • msg: «[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001254; rev: 2;
    • msg: «[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE»; sid: 10001255; rev: 3;
    • msg: «[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001256; rev: 2;
    • msg: «[PT Open] Petya ransomware perfc.dat component»; sid: 10001443; rev: 1
    • msg:»[PT Open] SMB2 Create PSEXESVC.EXE»; sid: 10001444; rev:1

    Сигнатуры:

    Шифровальщик Petya: рекомендации специалистов Positive Technologies

    28. 06. 2017


    Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня многие компании России и Украины стали жертвами новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry.


    Жертвами вымогателя уже стали украинские и российские компании крупного и среднего бизнеса. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.


    Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

    После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).


    В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов, что делать не рекомендуется.


    Petya использует 135-139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.


    В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).


    Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.


    О существующей угрозе компрометации уже сообщалось в оповещениях об атаке WannaCry и были даны рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Кроме этого, специалистами разработан дополнительный ряд рекомендаций. Компания Positive Technologies разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.


    Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).


     

    Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

    Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

    С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.


    Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.


    Если заражение уже произошло, не рекомендуется платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.


    В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

    Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:


    • C:\Windows\perfс

    • Задача в планировщие Windows с пустым именем и действием (перезагрузка) «%WINDIR%\system32\shutdown.exe /r /f»


    Срабатывание правил IDS/IPS:


    • msg: «[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001254; rev: 2;

    • msg: «[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE»; sid: 10001255; rev: 3;

    • msg: «[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool»; sid: 10001256; rev: 2;

    • msg: «[PT Open] Petya ransomware perfc.dat component»; sid: 10001443; rev: 1

    • msg: «[PT Open] SMB2 Create PSEXESVC.EXE»; sid: 10001444; rev:1


    Сигнатуры:
    https://github.com/ptresearch/AttackDetection/blob/master/eternalblue(WannaCry%2CPetya)/eternalblue(WannaCry%2CPetya).rules

     


    Оригинал новости: https://www.ptsecurity.com/ru-ru/about/news/283092/


     


    Приобрести надежную защиту Positive Technologies или получить консультацию специалиста по настройке антивируса вы можете, написав нам на почту [email protected]

    Файл

    Perfc.dat делает Windows невосприимчивой к программе-вымогателю Petya / NotPetya

    Исследователи нашли способ защитить компьютер Windows от текущей вспышки обновленной программы-вымогателя Petya с помощью файлового триггера perfc.

    Новая волна массового распространения программ-вымогателей, укоренившаяся 28 июня, вселяет страх своей первоклассной тактикой распространения и разрушительным воздействием на взломанные компьютеры. На этот раз виноват в таких опасениях вирус по имени Петя.Хотя в сообществе специалистов по безопасности продолжаются предположения о значительных отклонениях кода этой инфекции от ее прототипа годичной давности, модули modus operandi и взаимодействия с пользователем предполагают, что это, скорее всего, сильно переработанная версия Petya.

    Так или иначе, многочисленные организации, в основном украинские, пострадали всего за один день, а чиновники до сих пор не в силах разобраться. Кроме того, это нападение вполне могло быть политически мотивированным шагом российских спецслужб, направленным на подрыв деятельности предприятий и критически важной инфраструктуры соседней страны.Напомним, что вымогатели также сделали небольшое количество жертв в других европейских странах, включая Францию ​​и Испанию. Сообщается, что инциденты в Украине были подкреплены заминированным обновлением бухгалтерского программного обеспечения M.E.Doc.

    Экран блокировки показан на компьютерах, зараженных Petya.

    Этот конкретный дополнительный продукт Petya (также называемый NotPetya , PetrWrap , PetyaWrap , Petna , SortaPetya или ExPetr ) наносит гораздо больший ущерб, чем классический штаммы программ-вымогателей.Вместо того, чтобы шифровать важные файлы и хранить их для выкупа, он шифрует MBR (основная загрузочная запись) и MFT (основная таблица файлов) целевого хоста. Следовательно, жертвы не могут загрузить свои машины. Когда они пытаются запустить свои компьютеры, они видят страшный экран блокировки, требующий биткойнов на сумму 300 долларов. Предполагаемый процесс восстановления включает в себя конкретный адрес электронной почты — [email protected] , на который зараженные пользователи должны отправлять свой личный идентификатор вместе с данными платежной транзакции.Когда провайдер электронной почты Posteo приостановил действие этой учетной записи во вторник в связи с инцидентом, все думали, что этот шаг сделает невозможным восстановление доступа к компьютерам даже для тех, кто заплатил выкуп. Однако позже стало очевидно, что решить проблему абсолютно невозможно, платите вы или нет. Этот факт говорит о том, что новый вирус Petya был разработан для чистого уничтожения, а не для финансовой выгоды. Это больше похоже на войну, чем на инструмент вымогательства.

    Файл Perfc, созданный в папке Windows

    . Хорошая новость заключается в том, что аналитики безопасности обнаружили слабые места в работе этого вымогателя.Согласно их результатам, вредоносный код использует определенный файл в качестве триггера для продолжения атаки после того, как он попал внутрь. В частности, он переходит к компромиссу только в том случае, если ему не удается найти файл с именем «perfc» в заранее определенном каталоге на машине. Мотивация злоумышленников к созданию этого отличительного признака файла для своей кампании на данный момент не ясна. В любом случае, создав файл «perfc» только для чтения внутри папки C: \ Windows, пользователи должны быть защищены от злоумышленника Petya, по крайней мере, его текущей версии.Поэтому следуйте инструкциям ниже, чтобы избежать этой неприятной программы.

    Создать файл Perfc для предотвращения атаки программы-вымогателя Petya

    1 . Для начала убедитесь, что в вашей системе отключена функция Скрыть расширения для известных типов файлов . Итак, откройте папку My Computer (или This PC ), перейдите в Tools (или View ) и выберите Folder Options . Если включен параметр Скрыть расширения для известных типов файлов , снимите флажок в поле рядом с этой записью.Hit Применить

    2 . Теперь откройте папку C: \ Windows и найдите в ней notepad.exe

    3 . Выделите запись notepad.exe, нажмите Ctrl + C , а затем нажмите Ctrl + V . Таким образом вы вставите копию этого элемента в ту же папку. Во время этого процесса Windows отобразит диалоговое окно «Отказано в доступе к папке назначения ». Нажмите Продолжить на нем

    4 .Теперь вы увидите запись с именем notepad — Copy.exe в каталоге Windows. Щелкните левой кнопкой мыши по нему, нажмите клавишу F2 и переименуйте этот файл в perfc

    .

    5 . Нажмите , введите . Система отобразит другое диалоговое окно с названием Rename с вопросом, уверены ли вы, что хотите изменить расширение имени файла. Идите и нажмите Да

    6 . Появится предупреждение File Access Denied .Выберите Продолжить на нем

    7 . Теперь щелкните правой кнопкой мыши только что созданный файл perfc . В контекстном меню выберите Properties . Когда появится диалоговое окно perfc Properties , установите флажок рядом с параметром Read-only , чтобы включить его

    8 . Нажмите кнопку Apply , затем кнопку OK , чтобы сделать файл perfc доступным только для чтения. Выполненных выше манипуляций должно хватить, чтобы сделать ваш компьютер невосприимчивым к шифровальщику Petya.Некоторые аналитики дополнительно рекомендуют пользователям также создать еще два файла ( perfc.dat и perfc.dll ) в папке C: \ Windows. Вы также можете выполнить описанную выше процедуру, чтобы создать эти файлы.

    Удостоверьтесь, что вы защищены от вируса Петя.

    Хотя общий уровень обнаружения Petya был довольно низким, когда он начал распространяться, некоторые из более надежных пакетов безопасности смогли идентифицировать угрозу и заблокировать ее. Загрузив и запустив приведенное ниже решение для защиты от вредоносных программ, вы можете быть уверены, что подобные программы-вымогатели будут остановлены на своем пути, прежде чем они смогут нанести какой-либо ущерб.

    Скачать утилиту для удаления программ-вымогателей Petya

    Создайте единый файл, чтобы защитить себя от новейших атак программ-вымогателей

    Нет лекарства от последней атаки вымогателей, но исследователь обнаружил способ предотвратить заражение путем создания одного файла Windows.

    Спустя всего несколько недель после того, как WannaCry вызвал хаос во всем мире, последняя кампания вымогателей с целью подорвать бизнес — это Petya / NonPetya. Во вторник программа-вымогатель успешно атаковала жертв в Украине, России, Дании, Великобритании и США, заблокировав и нарушив работу банков, энергетических компаний и аэропортов.

    Исследователи полагают, что эксплойт EternalBlue SMB был использован для распространения программы-вымогателя, на которую сильно влияет исходный штамм Petya, но он имеет дополнительные функции, включая шифрование полных жестких дисков и возможность использования PSExec в системе, в которой он находится. учетные данные, позволяющие дублировать программу-вымогатель в любой системе в сети.

    Как сообщает Bleeping Computer, есть способ предотвратить заражение — не вылечить, а защитить от — который занимает не более нескольких минут вашего времени.

    См. Также: Шесть кратких фактов о сегодняшней глобальной атаке программ-вымогателей

    После исследования программы-вымогателя Petya исследователь безопасности Cybereason Амит Серпер понял, что если вредоносная программа загружается и запускается в зараженной системе, программа-вымогатель ищет конкретную локальный файл и будет выходить из системы и не шифровать систему, если этот файл будет найден.

    Потенциальные жертвы, которые не установили — или по какой-либо причине не могут — исправить свои системы, могут создать файл, сделать его доступным только для чтения и заблокировать запуск программы-вымогателя.

    Чтобы включить превентивную меру, необходимо создать файл без расширения с именем perfc в папке C: \ Windows и сделать его доступным только для чтения.

    Первый шаг — включить расширения Windows. Затем должна быть открыта папка C: \ Windows, а на отдельной вкладке должно открываться приложение «Блокнот». Создайте файл с именем perfc, нажмите Enter и убедитесь, что расширение не добавлено. Теперь файл создан, щелкните его правой кнопкой мыши, выберите «Свойства» и установите флажок «Только для чтения».«Скопируйте этот файл в папку Windows.

    Теперь у вас должен быть файл в правильном месте для отображения C: \ Windows \ perfc.

    Позже другие исследователи подтвердили открытие, хотя некоторые отметили, что создание perfc.dat файл тоже, вероятно, поможет.

    Это не аварийный выключатель для Пети. На момент написания ни один исследователь не смог найти способ создать его, чтобы закрыть кампанию. Однако это мера, которая может защитить отдельные системы — по крайней мере, на данный момент.

    Поскольку обходной путь теперь общедоступен, возможно, операторы Petya изменят источник вредоносной программы, чтобы свести на нет эти средства защиты. Исправление, как и во многих случаях, является королем.

    Если вы стали несчастной жертвой последней глобальной эпидемии вымогателей, вам ни при каких обстоятельствах не следует платить выкуп.

    В то время как некоторые штаммы вымогателей используют пряник, чтобы заставить вас заплатить, в этом случае нет смысла платить. Электронный адрес, настроенный на получение шантажных платежей в размере 300 долларов в обмен на предполагаемую расшифровку, был заблокирован.

    К сожалению, нет способа восстановить потерянные и зашифрованные файлы, вызванные этой атакой, поэтому лучший совет, который можно предложить на данный момент, — восстановить резервную копию, если вы можете, или сохранить систему в надежде, что исследователи будут может разработать бесплатный ключ дешифрования.

    Новые программы-вымогатели, старые техники: Петя добавляет возможности червя

    27 июня 2017 г. по Европе начали распространяться сообщения о заражении программами-вымогателями. Мы увидели первые заражения в Украине, где с угрозой столкнулись более 12 500 машин.Затем мы наблюдали инфекции еще в 64 странах, включая Бельгию, Бразилию, Германию, Россию и США.

    (Примечание: мы опубликовали дополнительную запись в блоге об этой атаке с использованием программ-вымогателей. У нас есть новые результаты нашего продолжающегося расследования, а также информация о смягчении последствий и защите платформы: устойчивость платформы Windows 10 к атаке программы-вымогателя Petya.)

    Новая программа-вымогатель обладает возможностями червя, что позволяет ей перемещаться по зараженным сетям.Согласно нашему расследованию, эта новая программа-вымогатель имеет аналогичные коды и представляет собой новый вариант Ransom: Win32 / Petya. Однако эта новая разновидность программ-вымогателей более сложна.

    Чтобы защитить наших клиентов, мы выпустили облачные обновления защиты и вскоре после этого внесли обновления в наши пакеты определения сигнатур. Эти обновления были автоматически доставлены для всех бесплатных продуктов Microsoft для защиты от вредоносных программ, включая антивирус Windows Defender и Microsoft Security Essentials. Вы можете загрузить последнюю версию этих файлов вручную в Центре защиты от вредоносных программ.

    Расширенная защита от угроз в Защитнике Windows (Windows Defender ATP) автоматически определяет поведение, используемое этим новым вариантом вымогателя, без каких-либо обновлений. Чтобы проверить, как ATP в Защитнике Windows может помочь вашей организации обнаруживать, расследовать и реагировать на расширенные атаки, зарегистрируйтесь для получения бесплатной пробной версии .

    Поставка и установка

    Первоначальное заражение, по-видимому, связано с угрозой цепочки поставок программного обеспечения с участием украинской компании M.E.Doc, которая разрабатывает программное обеспечение для налогового учета MEDoc.Хотя этот вектор подробно обсуждался новостными СМИ и исследователями в области безопасности, включая собственную киберполицию Украины, для этого вектора были лишь косвенные доказательства. Теперь у Microsoft есть доказательства того, что несколько активных заражений программой-вымогателем первоначально начались из законного процесса обновления MEDoc. Как мы подчеркивали ранее, атаки на цепочку поставок программного обеспечения — недавняя опасная тенденция для злоумышленников, и она требует усиленной защиты.

    Мы наблюдали телеметрию, показывающую процесс обновления программного обеспечения MEDoc ( EzVit.exe) , выполнив вредоносную командную строку, соответствующую этому шаблону атаки, во вторник, 27 июня, около 10:30 по Гринвичу.

    Цепочка выполнения, ведущая к установке программы-вымогателя, представлена ​​на диаграмме ниже и по существу подтверждает, что процесс EzVit.exe из MEDoc по неизвестным причинам в какой-то момент выполнил следующую командную строку:

    C: \\ Windows \\ system32 \\ rundll32.exe \ ”\” C: \\ ProgramData \\ perfc.dat \ ”, # 1 30

    Тот же вектор обновления был также упомянут киберполицией Украины в общедоступном списке индикаторов взлома (IOC), который включает средство обновления MEDoc.

    Одна программа-вымогатель, несколько техник бокового перемещения

    С учетом дополнительных возможностей бокового перемещения этой новой программы-вымогателя достаточно одной зараженной машины, чтобы повлиять на сеть. Функциональность распространения программ-вымогателей состоит из нескольких методов, отвечающих за:

    • кража учетных данных или повторное использование существующих активных сеансов
    • использование общих файловых ресурсов для передачи вредоносного файла между машинами в одной сети
    • использование существующих законных функций для выполнения полезной нагрузки или злоупотребление уязвимостями SMB для непропатченных машин

    В следующих разделах мы обсудим детали каждой техники.

    Боковое перемещение с использованием кражи учетных данных и выдачи себя за другое лицо

    Эта программа-вымогатель сбрасывает инструмент сброса учетных данных (обычно в виде файла .tmp в папке % Temp% ), который имеет схожий код с Mimikatz и поставляется в 32-битном и 64-битном вариантах. Поскольку пользователи часто входят в систему, используя учетные записи с правами локального администратора и открывают активные сеансы на нескольких машинах, украденные учетные данные, вероятно, обеспечат тот же уровень доступа, который пользователь имеет на других машинах.

    После того, как вымогатель получит действительные учетные данные, он сканирует локальную сеть, чтобы установить допустимые соединения на портах tcp / 139 и tcp / 445 . Особое поведение зарезервировано для контроллеров домена или серверов: эта программа-вымогатель пытается вызвать DhcpEnumSubnets () для перечисления подсетей DHCP; для каждой подсети он собирает все хосты / клиенты (используя DhcpEnumSubnetClients () ) для сканирования служб tcp / 139 и tcp / 445 . В случае получения ответа вредоносная программа пытается скопировать двоичный файл на удаленный компьютер, используя обычные функции передачи файлов с украденными учетными данными.

    Затем он пытается удаленно запустить вредоносное ПО с помощью инструментов PSEXEC или WMIC.

    Программа-вымогатель пытается удалить легитимный файл psexec.exe (обычно переименованный в dllhost.dat ) из встроенного ресурса вредоносной программы. Затем он сканирует локальную сеть на предмет административных общих ресурсов за долларов США, копирует себя по сети и удаленно выполняет недавно скопированный двоичный файл вредоносной программы с помощью PSEXEC.

    Помимо сброса учетных данных, вредоносная программа также пытается украсть учетные данные, используя функцию CredEnumerateW , чтобы получить все остальные учетные данные пользователя, потенциально хранящиеся в хранилище учетных данных.Если имя учетных данных начинается с «TERMSRV /» , а тип установлен как 1 (общий), он использует эти учетные данные для распространения по сети.

    Код вымогателя, отвечающий за доступ к общим ресурсам \\ Admin $ на разных машинах

    Эта программа-вымогатель также использует командную строку инструментария управления Windows (WMIC) для поиска удаленных общих ресурсов (используя NetEnum / NetAdd ) для распространения. Он использует либо дубликат токена текущего пользователя (для существующих подключений), либо комбинацию имени пользователя и пароля (распространяется через легальные инструменты).

    Снимок экрана, показывающий запуск вредоносного ПО на удаленном компьютере с помощью WMIC

    Боковое перемещение с использованием EternalBlue и EternalRomance

    Новое вымогательское ПО может также распространяться с помощью эксплойта для уязвимости блока сообщений сервера (SMB) CVE-2017-0144 (также известной как EternalBlue), которая была исправлена ​​в обновлении безопасности MS17-010 и также использовалась WannaCrypt для распространения современные машины. Кроме того, эта программа-вымогатель также использует второй эксплойт для CVE-2017-0145 (также известный как EternalRomance и исправленный в том же бюллетене).

    Мы видели, как эта программа-вымогатель пытается использовать эти эксплойты, генерируя пакеты SMBv1 (все они зашифрованы XOR 0xCC ) для активации этих уязвимостей по следующему адресу вредоносного кода:

    Об этих двух эксплойтах просочилась группа под названием Shadow Brokers. Однако важно отметить, что обе эти уязвимости были исправлены Microsoft в обновлении безопасности MS17-010 от 14 марта 2017 г.

    На машины, на которых установлены патчи против этих эксплойтов (с обновлением безопасности MS17-010) или отключен SMBv1, этот конкретный механизм распространения не влияет.Пожалуйста, обратитесь к нашему предыдущему блогу, чтобы узнать больше об этих эксплойтах и ​​о том, как современные средства защиты Windows 10 могут помочь сдерживать подобные угрозы.

    Шифрование

    Поведение этого вымогателя при шифровании зависит от уровня привилегий процесса вредоносного ПО и процессов, выполняемых на компьютере. Для этого он использует простой алгоритм хеширования на основе XOR для имен процессов и проверяет следующие значения хеш-функции для использования в качестве исключения поведения:

    • 0x6403527E или 0x651B3005 — если эти хэши имен процессов обнаружены запущенными на машине, то программа-вымогатель не использует SMB.
    • 0x2E214B44 — если процесс с этим хешированным именем обнаружен, программа-вымогатель удаляет первые 10 секторов \\\\. \ PhysicalDrive0 , включая MBR

    Затем программа-вымогатель записывает в основную загрузочную запись (MBR), а затем настраивает систему на перезагрузку. Он устанавливает запланированные задачи для выключения машины по крайней мере через 10 минут после текущего времени. Точное время случайное (GetTickCount ()) .Например:

    schtasks / Create / SC once / TN «» / TR «<системная папка> \ shutdown.exe / r / f» / ST 14:23

    После успешного изменения MBR отображается следующее поддельное системное сообщение, в котором отмечается предполагаемая ошибка в накопителе и отображается поддельная проверка целостности:

    Затем отображается записка с требованием выкупа:

    Только в том случае, если вредоносная программа работает с наивысшими привилегиями (например, с включенным SeDebugPrivilege ), она пытается перезаписать код MBR.

    Эта программа-вымогатель пытается зашифровать все файлы со следующими расширениями имен во всех папках на всех фиксированных дисках, кроме C: \ Windows :

    .3ds .7z .accdb .ai
    .asp .aspx .avhd. Назад
    .bak .c .cfg .conf
    .cpp.cs .ctl .dbf
    . Диск .djvu .doc .docx
    .dwg .eml .fdb .gz
    .h .hdd .kdbx. Mail
    .mdb .msg .nrg .ora
    .ost .ova .ovf .pdf
    .php .pmf .ppt .pptx
    .pst .pvi .py .pyc
    .rar .rtf .sln .sql
    .tar .vbox .vbs .vcb
    .vdi .vfd .vmc .vmdk
    .vmsd .vmx .vsdx.vsv
    . Работа .xls .xlsx .xvd
    .zip

    Он использует API сопоставления файлов вместо обычного ReadFile () / WriteFile () API:

    В отличие от большинства других программ-вымогателей, эта угроза не добавляет новое расширение имени файла к зашифрованным файлам. Вместо этого он перезаписывает указанные файлы.

    Ключ AES, сгенерированный для шифрования для каждой машины, для каждого фиксированного диска, экспортируется и шифруется с использованием встроенного 2048-битного открытого ключа RSA злоумышленника.

    Встроенный открытый ключ RSA

    Код, экспортирующий 128-битный ключ AES на машину, на фиксированный диск на машине и шифрование его с использованием встроенного открытого ключа RSA во время экспорта

    Уникальный ключ, используемый для шифрования файлов (AES), добавляется в зашифрованном виде в файл README.TXT , который угроза записывает в разделе «Ваш личный установочный ключ:» .

    Помимо шифрования файлов, этот вымогатель также пытается заразить MBR или уничтожить определенные сектора VBR и MBR:

    После завершения процедуры шифрования эта программа-вымогатель сбрасывает текстовый файл с именем README.TXT в каждом фиксированном приводе. В указанном файле содержится следующий текст:

    Эта программа-вымогатель также очищает журналы событий системы, настройки, безопасности и приложений и удаляет информацию журнала NTFS.

    Обнаружение и расследование с помощью Advanced Threat Protection в Защитнике Windows

    Расширенная защита от угроз в Защитнике Windows (Windows Defender ATP) — это решение после взлома, которое предлагает спланированное обнаружение этой атаки без необходимости обновления сигнатур. Датчики ATP в Защитнике Windows постоянно отслеживают и собирают телеметрию с конечных точек и предлагают обнаружение машинным обучением для распространенных методов и инструментов бокового движения, используемых этой программой-вымогателем, включая, например, выполнение PsExec.exe с другим именем файла и создание файла perfc.dat в путях удаленных общих ресурсов (UNC).

    Сегодня без дополнительных обновлений зараженная машина может выглядеть так:

    Второе предупреждение нацелено на распространение DLL-файла вымогателя по сети. Это событие предоставляет полезную информацию во время исследования, поскольку оно включает контекст пользователя, который использовался для удаленного перемещения файла. Этот пользователь был скомпрометирован и может представлять пользователя, связанного с нулевым пациентом:

    .

    Благодаря Windows Defender ATP корпоративные клиенты имеют все необходимое для быстрого выявления эпидемий Petya, исследования масштабов атаки и своевременного реагирования на кампании по доставке вредоносных программ.

    Защита от этой новой атаки вымогателей

    Постоянное обновление Windows 10 дает вам преимущества новейших функций и упреждающих средств защиты, встроенных в последние версии Windows. В Creators Update мы дополнительно укрепили Windows 10 от атак программ-вымогателей, представив новые технологии следующего поколения и улучшив существующие.

    В качестве еще одного уровня защиты Windows 10 S позволяет запускать только приложения, поступающие из Магазина Windows. Пользователи Windows 10 S дополнительно защищены от этой угрозы.

    Мы рекомендуем клиентам, которые еще не установили обновление безопасности MS17-010, сделать это как можно скорее. Пока вы не примените патч, мы также рекомендуем два возможных обходных пути для уменьшения поверхности атаки:

    Поскольку угроза нацелена на порты 139 и 445, ваши клиенты могут блокировать любой трафик на этих портах, чтобы предотвратить распространение на машины в сети или из них. Вы также можете отключить удаленный WMI и общий доступ к файлам. Они могут иметь большое влияние на возможности вашей сети, но могут быть предложены на очень короткий период времени, пока вы оцениваете влияние и применяете обновления определений.

    Помимо использования уязвимостей, эта угроза также может распространяться по сети путем кражи учетных данных, которые затем используются для попытки копирования и выполнения копии на удаленных машинах. Вы можете предотвратить кражу учетных данных, обеспечив гигиену учетных данных во всей организации. Безопасный привилегированный доступ для предотвращения распространения таких угроз, как «Петя», и защиты активов вашей организации. Используйте Credential Guard для защиты учетных данных домена, хранящихся в хранилище учетных данных Windows.

    Антивирус Защитника Windows обнаруживает эту угрозу как Ransom: Win32 / Petya, начиная с версии 1.247.197.0 обновление. Антивирус «Защитник Windows» использует облачную защиту, помогая защитить вас от новейших угроз.

    Для предприятий используйте Device Guard для блокировки устройств и обеспечения безопасности на основе виртуализации на уровне ядра, позволяя запускать только доверенные приложения и эффективно предотвращая запуск вредоносных программ.

    Мониторинг сетей с помощью Advanced Threat Protection в Защитнике Windows, который предупреждает службы безопасности о подозрительных действиях. Загрузите этот учебник, чтобы узнать, как можно использовать ATP в Защитнике Windows для обнаружения, исследования и снижения риска программ-вымогателей в сетях: Расширенная защита от угроз в Защитнике Windows — руководство по реагированию на программы-вымогатели.

    Чтобы проверить, как ATP Защитника Windows может помочь вашей организации обнаруживать, исследовать и реагировать на расширенные атаки, зарегистрируйтесь для получения бесплатной пробной версии .

    ресурсов

    Блог

    MSRC: https://blogs.technet.microsoft.com/msrc/2017/06/28/update-on-petya-malware-attacks/

    Защита от программ-вымогателей нового поколения с обновлением Windows 10 Creators Update: https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen- оборона /

    Загрузите обновления безопасности на английском языке: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

    Загрузите локализованные обновления безопасности для языков: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

    MS17-010 Обновление безопасности: https: // technet.microsoft.com/en-us/library/security/ms17-010.aspx

    Общая информация о программах-вымогателях: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

    Безопасность для ИТ-специалистов: https://technet.microsoft.com/en-us/security/default

    Индикаторы компрометации

    Защитники сети могут искать следующие индикаторы:

    Индикаторы файлов

    • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
    • 9717cfdc2d023812dbc84a941674eb23a2a8ef06
    • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
    • 56c03d8e43f50568741704aee482704a4f5005ad

    Командные строки

    В средах, где доступно ведение журнала из командной строки, можно искать следующие командные строки:

    • Запланированная задача перезагрузки: Петя планирует перезагрузку на случайное время от 10 до 60 минут от текущего времени.
      • schtasks / Create / SC once / TN «» / TR «<системная папка> \ shutdown.exe / r / f ”/ ST <время>
      • cmd.exe / c schtasks / RU «СИСТЕМА» / Create / SC once / TN «» / TR «C: \ Windows \ system32 \ shutdown.exe / r / f» / ST <время>

    Это может быть обнаружено путем поиска EventId 106 (общая регистрация задачи), который захватывает задачи, зарегистрированные в службе планировщика заданий.

    • Боковое смещение (удаленный WMI)
      • «вызов процесса создать \» C: \ Windows \ System32 \ rundll32.exe \ C: \ Windows \ perfc.dat \\\ ”# 1 ″

    Сетевые индикаторы

    В средах, где доступны данные NetFlow, сканирование подсети этой программой-вымогателем можно наблюдать, выполнив поиск следующего:

    • Рабочие станции, сканирующие порты tcp / 139 и tcp / 445 в собственной локальной (/ 24) сети
    • Серверы (в частности, контроллеры домена), сканирующие порты tcp / 139 и tcp / 445 в нескольких областях / 24


    Свяжитесь с нами

    Вопросы, проблемы или идеи по этой истории? Присоединяйтесь к обсуждениям в сообществе Microsoft и Security Intelligence Защитника Windows.

    Подпишитесь на нас в Twitter @WDSecurity и Facebook Защитник Windows Security Intelligence.

    Вакцина, а не Killswitch, найдена для Petya (NotPetya) Эпидемия вымогателей

    Исследователь Cybereason безопасности Амит Серпер нашел способ предотвратить заражение компьютеров программой-вымогателем Petya (NotPetya / SortaPetya / Petna).

    Сегодня программа-вымогатель сеет хаос по всему миру, блокируя разделы MFT и MBR жестких дисков и предотвращая загрузку компьютеров.Если жертвы не решили заплатить выкуп (что сейчас бессмысленно и не рекомендуется), не было возможности восстановить их системы.

    В первые часы атаки исследователи полагали, что эта новая программа-вымогатель была новой версией более старой угрозы под названием Petya, но позже они обнаружили, что это был совершенно новый штамм, который заимствовал некоторый код у Petya, поэтому они недавно начал это называть НотПетя, Петна или, как мы любим называть СортаПетя.

    Исследователи собрались вместе, чтобы найти механизм выключателя

    Из-за глобального распространения программы-вымогателя многие исследователи стремились проанализировать ее, надеясь найти лазейку в ее шифровании или домен killswitch, который остановил бы ее распространение, подобно WannaCry.

    Анализируя внутреннюю работу программы-вымогателя, Серпер первым обнаружил, что NotPetya будет искать локальный файл и выйдет из процедуры шифрования, если этот файл уже существует на диске.

    Первоначальные результаты исследователя были позже подтверждены другими исследователями безопасности, такими как PT Security, TrustedSec и Emsisoft.

    Это означает, что жертвы могут создать этот файл на своих компьютерах, сделать его доступным только для чтения и заблокировать запуск программы-вымогателя NotPetya.

    Хотя это действительно предотвращает запуск программы-вымогателя, этот метод больше похож на вакцинацию, чем на отключение. Это связано с тем, что каждый пользователь компьютера должен независимо создать этот файл, по сравнению с «переключателем», который разработчик вымогателя может включить для глобального предотвращения всех заражений вымогателями.

    Как включить вакцину NotPetya / Petna / Petya

    Чтобы вакцинировать свой компьютер и не заразиться текущим штаммом NotPetya / Petya / Petna (да, такое название раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте только для чтения .Для тех, кому нужен быстрый и простой способ выполнить эту задачу, Лоуренс Абрамс создал командный файл, который выполняет этот шаг за вас.

    Для тех, кто хочет немного большего контроля или собственного исполняемого файла, который может вносить эти изменения, я создал новый вакцинатор. Это собственный исполняемый файл с дополнительными параметрами, которые могут упростить для тех, кто хочет настроить создаваемые файлы вакцинации, удалить файлы вакцинации и подавить вывод для тех, кто хочет использовать его как часть сценария входа в систему или другого сценария.

    Файл можно скачать отсюда: https://download.bleepingcomputer.com/vaccines/NotPetyaVaccine.exe

    Это инструмент командной строки, который при запуске без аргументов командной строки просто создает файл C: \ Windows \ perfc и завершает работу.

    Вы можете использовать аргумент / h, чтобы просмотреть полный файл справки, содержащий информацию о том, как настроить его выполнение.

    Обратите внимание, что пакетный файл также создаст два дополнительных файла вакцинации с именами perfc.dat и perfc.dll. Хотя мои тесты не показали, что эти дополнительные файлы необходимы, я добавил их для полноты на основе ответов на этот твит.

    Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat

    Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете сделать это, выполнив следующие действия. Обратите внимание, что эти шаги созданы, чтобы максимально упростить их для тех, у кого мало опыта работы с компьютером. Те, у кого больше опыта, могут сделать это несколькими и, возможно, лучшими способами.

    Сначала настройте Windows для отображения расширений файлов. Для тех, кто не знает, как это сделать, вы можете воспользоваться этим руководством. Просто убедитесь, что параметр «Параметры папки» для «Скрыть расширения для известных типов файлов » не установлен, как показано ниже.

    После того, как вы включили просмотр расширений, который вы всегда должны были включать, откройте папку C: \ Windows . После открытия папки прокрутите вниз, пока не увидите программу notepad.exe.

    Как только вы увидите блокнот .exe , щелкните левой кнопкой мыши по ней один раз, чтобы она была выделена. Затем нажмите Ctrl + C (), чтобы скопировать, а затем Ctrl + V (), чтобы вставить его. Когда вы вставите его, вы получите запрос с просьбой предоставить разрешение на копирование файла.

    Нажмите кнопку Продолжить , и файл будет создан как блокнот — Copy.exe . Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре и теперь сотрите блокнот — Копировать.Имя файла exe и введите perfc , как показано ниже.

    После изменения имени файла на perfc нажмите . Введите на клавиатуре. Теперь вы получите запрос с вопросом, уверены ли вы, что хотите переименовать его.

    Нажмите кнопку Да . Windows еще раз попросит разрешения переименовать файл в этой папке. Нажмите кнопку Продолжить .

    Теперь, когда файл perfc создан, нам нужно сделать его доступным только для чтения.Для этого щелкните файл правой кнопкой мыши и выберите Properties , как показано ниже.

    Откроется меню свойств этого файла. Внизу будет флажок с надписью Только для чтения . Поставьте галочку, как показано на изображении ниже.

    Теперь нажмите кнопку Применить , а затем кнопку OK . Окно свойств теперь должно закрываться. Хотя в моих тестах файл C: \ windows \ perfc — это все, что мне нужно для вакцинации моего компьютера, также было предложено создать C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll. Вы также можете повторить эти шаги для файлов вакцинации.

    Теперь ваш компьютер должен быть вакцинирован от программ-вымогателей NotPetya / SortaPetya / Petya.

    Дополнительная отчетность Лоуренса Абрамса.

    28.06.17, 8:26 AM EST: эта статья была обновлена, чтобы более подробно разъяснить, как работает пакетный сценарий

    Bleeping Computer Petya / NotPetya охват:

    Сюрприз! NotPetya — это кибероружие.Это не программа-вымогатель

    Эпидемия вымогателей Petya, возникшая в Украине с помощью испорченного программного обеспечения для бухгалтерского учета

    Вакцина, а не Killswitch, найдена для эпидемии вымогателей Пети (NotPetya)

    Провайдер электронной почты закрывает почтовый ящик Petya, чтобы жертвы не могли восстановить файлы

    WannaCry Déjà Vu: эпидемия вымогателей Petya, сеющая хаос по всему миру

    Petya Ransomware — что это такое и что делать

    Читать 6 мин.

    Новый вариант программы-вымогателя, известный как Petya, распространяется по всему миру.В настоящее время он оказывает влияние на широкий спектр отраслей и организаций, включая критически важную инфраструктуру, такую ​​как энергетическая, банковская и транспортная системы. Впервые он был замечен в 2016 году, но в нем были заметные различия в работе, из-за которых он был «немедленно отмечен как следующий шаг в эволюции вымогателей».

    Что это?

    Это новое поколение программ-вымогателей, предназначенных для своевременного использования последних эксплойтов. Текущая версия нацелена на те же уязвимости (ETERNALBLUE), которые использовались во время недавней атаки Wannacry.В этом варианте, вместо того, чтобы нацеливаться на одну организацию, он использует широкий подход, нацеленный на любое устройство, которое, как он обнаружит, может использовать прикрепленный червь.

    Серьезность этой атаки умножается тем фактом, что даже серверы, исправленные против уязвимости SMBv1, эксплуатируемой EternalBlue, могут быть успешно атакованы при условии, что в сети есть хотя бы один сервер Windows, уязвимый для уязвимости, исправленной в марте.

    Как распространяется?

    В ранних отчетах также предполагалось, что некоторые инфекции распространялись через фишинговые электронные письма с зараженными документами Excel, использующими CVE-2017-0199, уязвимость удаленного выполнения кода Microsoft Office / WordPad.

    Злоумышленники встроили возможность заражать исправленные локальные машины с помощью служебной программы PSEXEC Windows SysInternals для проведения атаки с передачей хэша. Некоторые исследователи также задокументировали использование интерфейса сценариев командной строки Windows Management Instrumentation (WMIC) для локального распространения программ-вымогателей.

    В отличие от WannaCry, эта атака не имеет компонента-червя с выходом в Интернет и сканирует только внутренние подсети в поисках других машин для заражения. Как только сервер взломан EternalBlue, злоумышленник входит как системный пользователь.

    Что он делает

    Вредоносная программа ждет 10-60 минут после заражения, чтобы перезагрузить систему. Перезагрузка планируется с помощью системных средств с инструментами «at» или «schtasks» и «shutdown.exe». После перезагрузки он начинает шифрование таблицы MFT в разделах NTFS, перезаписывая MBR настраиваемым загрузчиком с запиской о выкупе.

    Вредоносная программа перечисляет все сетевые адаптеры, все известные имена серверов через NetBIOS, а также получает список текущих аренды DHCP, если таковой имеется.Каждый IP-адрес в локальной сети и каждый найденный сервер проверяется на наличие открытых TCP-портов 445 и 139. Те машины, на которых эти порты открыты, затем подвергаются атаке одним из описанных выше методов.

    Преступники, стоящие за этой атакой, просят 300 долларов в биткойнах, чтобы доставить ключ, который расшифровывает выкупленные данные, на единую учетную запись биткойнов. В отличие от Wannacry, этот метод будет работать, потому что злоумышленники просят жертв отправить номера своих кошельков по электронной почте на адрес «wowsmith223456 @ posteo».net », тем самым подтверждая транзакции.

    На данный момент нет аварийного выключателя, и в отчетах говорится, что электронное письмо с требованием выкупа недействительно, поэтому платить не рекомендуется.

    Технические характеристики

    Талос заметил, что на скомпрометированных системах был сброшен файл с именем «Perfc.dat». Perfc.dat содержит функции, необходимые для дальнейшего взлома системы, и одну безымянную функцию экспорта, называемую №1. Библиотека пытается получить административные привилегии (SeShutdowPrivilege и SeDebugPrivilege) для текущего пользователя через Windows API AdjustTokenPrivileges.В случае успеха программа-вымогатель перезапишет основную загрузочную запись (MBR) на диске, который в Windows называется PhysicalDrive 0. Независимо от того, успешно ли вредоносная программа перезаписывает MBR, она затем приступит к созданию запланированной задачи с помощью schtasks, чтобы перезагрузить систему через час после заражения.

    В рамках процесса распространения вредоносная программа перечисляет все видимые машины в сети через NetServerEnum, а затем сканирует открытый порт TCP 139. Это делается для составления списка устройств, которые открывают этот порт и могут быть уязвимы для взлома.

    Вредоносная программа имеет три механизма распространения после заражения устройства:

    1. EternalBlue — тот же эксплойт, который используется в WannaCry.
    2. Psexec — легальный инструмент администрирования Windows.
    3. WMI — инструментарий управления Windows, законный компонент Windows.

    Эти механизмы используются для попытки установки и выполнения perfc.dat на других устройствах для бокового распространения.

    Для систем, в которых не применялся MS17-010, эксплойт EternalBlue используется для взлома систем.

    Psexec используется для выполнения следующей инструкции (где w.x.y.z — это IP-адрес) с использованием токена Windows текущего пользователя для установки вредоносного ПО на сетевом устройстве. Talos все еще исследует методы, с помощью которых «токен Windows текущего пользователя» извлекается из машины.

    C: \ WINDOWS \ dllhost.dat \\ w.x.y.z -accepteula -s -d C: \ Windows \ System32 \ rundll32.exe C: \ Windows \ perfc.dat, # 1

    WMI используется для выполнения следующей команды, которая выполняет ту же функцию, что и выше, но с использованием имени пользователя и пароля текущего пользователя (в качестве имени пользователя и пароля).

    Wbem \ wmic.exe / node: «wxyz» / user: «имя пользователя» / пароль: «пароль» «вызов процесса create« C: \ Windows \ System32 \ rundll32.exe \ »C: \ Windows \ perfc.dat \ ”# 1 ″

    После успешного взлома системы вредоносная программа шифрует файлы на хосте, используя 2048-битное шифрование RSA. Кроме того, вредоносная программа очищает журналы событий на взломанном устройстве с помощью следующей команды:

    wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal / D% c:

    Какие шаги предприняла EventTracker Enterprise?

    1. Тщательный мониторинг объявлений и деталей, предоставляемых отраслевыми экспертами, включая US CERT, SANS, Microsoft и т. Д.
    2. Просмотрено последние результаты сканирования уязвимостей в вашей сети (если вы подписаны на услугу ETVAS) на предмет уязвимых машин. Подписчики услуги ETVAS, которые хотели бы, чтобы мы снова просканировали вашу сеть, могут запросить нас по адресу [email protected], и мы выполним сканирование в удобное для вас время.
    3. Обновил список активного наблюдения в вашем экземпляре EventTracker с использованием последних индикаторов взлома (IOC). Сюда входят хеши MD5 вариантов вредоносного ПО, IP-адреса C&C серверов, адрес электронной почты wowsmith223456 @ posteo.нетто
    4. Мониторинг перезагрузки системы и добавления в список запланированных задач
    5. Просмотр снимков аудита изменений в сети на предмет изменений в реестре (RunOnce)
    6. Обновлены ETIDS с сигнатурами snort, как описано в Cisco Talos
    7. Выполнение поиска в журнале с использованием известных IOC

    Рекомендации

    • Примените исправление Microsoft для уязвимости MS17-010 SMB от 14 марта 2017 г.
    • Выполните подробный поиск уязвимостей всех систем в вашей сети и как можно скорее примените отсутствующие исправления.
    • Ограничить трафик с / на порты 139 и 445 только во внутреннюю сеть. Контролируйте трафик к этим портам на предмет нестандартного поведения.
    • Включите строгие фильтры спама, чтобы предотвратить попадание фишинговых писем до конечных пользователей, и аутентифицируйте входящую электронную почту с помощью таких технологий, как Sender Policy Framework (SPF), Отчет об аутентификации сообщений домена и соответствие (DMARC) и DomainKeys Identified Mail (DKIM ), чтобы предотвратить подделку электронной почты.
    • Сканируйте все входящие и исходящие сообщения электронной почты для обнаружения угроз и фильтрации исполняемых файлов от доступа конечных пользователей.
    • Убедитесь, что антивирусные программы и антивирусные программы настроены на автоматическое регулярное сканирование.
    • Управляйте использованием привилегированных учетных записей. Реализуйте принцип наименьших привилегий. Пользователям не следует назначать административный доступ без крайней необходимости. Те, кому необходимы учетные записи администратора, должны использовать их только при необходимости.
    • Настройте элементы управления доступом, включая разрешения на доступ к файлам, каталогам и сетевым ресурсам, с минимальными привилегиями. Если пользователю нужно только читать определенные файлы, у него не должно быть доступа на запись к этим файлам, каталогам или общим ресурсам.
    • Отключить макросы из файлов Microsoft Office, передаваемых по электронной почте. Рассмотрите возможность использования программного обеспечения Office Viewer для открытия файлов Microsoft Office, передаваемых по электронной почте, вместо приложений полного пакета Office.

    Эпидемия программы-вымогателя Petya: вот что вам нужно знать

    Первоначальный вектор заражения

    Symantec подтвердила, что MEDoc, программный пакет для налогов и бухгалтерского учета, используется для первоначального включения Petya в корпоративные сети.MEDoc широко используется в Украине, что указывает на то, что организации в этой стране были основной целью.

    После того, как Петя закрепился на начальном этапе, он использует различные методы для распространения по корпоративным сетям.

    Распространение и боковое движение

    Petya — это червь, а это значит, что он обладает способностью к самораспространению. Для этого он составляет список целевых компьютеров и использует два метода распространения на эти компьютеры.

    IP-адрес и сбор учетных данных

    Петя составляет список IP-адресов для распространения, который включает в основном адреса в локальной сети (LAN), но также и удаленные IP-адреса.Полный список составлен следующим образом:

    • Все IP-адреса и DHCP-серверы всех сетевых адаптеров
    • Все клиенты DHCP сервера DHCP, если порты 445/139 открыты
    • Все IP-адреса в подсети, определенные маской подсети, если порты 445/139 открыты
    • Все компьютеры, у которых есть открытое сетевое соединение с
    • Все компьютеры в кэше ARP
    • Все ресурсы в Active Directory
    • Все ресурсы серверов и рабочих станций в сетевом окружении
    • Все ресурсы в диспетчере учетных данных Windows (включая компьютеры со службами терминалов удаленных рабочих столов)

    После того, как список целевых компьютеров определен, Петя составляет список имен пользователей и паролей, которые он может использовать для распространения на эти цели.Список имен пользователей и паролей хранится в памяти. Он использует два метода для сбора учетных данных:

    • Собирает имена пользователей и пароли из диспетчера учетных данных Windows
    • Отбрасывает и запускает 32-битный или 64-битный дампер учетных данных

    Боковое перемещение

    Петя использует два основных метода распространения по сети:

    • Выполнение через общие сетевые ресурсы: пытается распространиться на целевые компьютеры, копируя себя в [ИМЯ КОМПЬЮТЕРА] \\ admin $, используя полученные учетные данные.Затем он выполняется удаленно с помощью PsExec или инструмента командной строки инструментария управления Windows (WMIC). Оба являются законными инструментами.
    • эксплойтов SMB: он пытается распространяться с использованием разновидностей эксплойтов EternalBlue и EternalRomance.

    Петя проверяет наличие следующих процессов, которые используются продуктами Norton и Symantec Endpoint Protection:

    В случае обнаружения Петя не будет использовать эксплойты EternalBlue и EternalRomance для распространения.

    Первичное заражение и установка

    Petya изначально запускается через rundll32.exe с помощью следующей команды:

    • rundll32.exe perfc.dat, № 1

    После загрузки DLL сначала попытается удалить себя из зараженной системы. Это делается путем открытия файла и перезаписи его содержимого нулевыми байтами перед окончательным удалением файла с диска. Перезапись файла нулевыми байтами используется как попытка помешать восстановлению файла с помощью криминалистических методов.

    Затем он пытается создать следующий файл, который будет использоваться в качестве флага, указывающего, что компьютер заражен:

    Заражение и шифрование MBR

    После установки Петя приступает к изменению основной загрузочной записи (MBR). Это позволяет ему нарушить нормальный процесс загрузки зараженного компьютера во время следующей перезагрузки системы. Измененная MBR используется для шифрования жесткого диска при имитации экрана CHKDSK. Затем он отображает пользователю записку о выкупе.

    Модификация MBR не будет успешной, если угроза выполняется от имени обычного пользователя, но угроза все равно будет пытаться распространиться по сети

    На этом этапе запланирована перезагрузка системы с помощью следующей команды:

    • «/ c в 00:49 C: \ Windows \ system32 \ shutdown.exe / r / f»

    Благодаря планированию, а не принудительной перезагрузке, он дает возможность Petya распространиться на другие компьютеры в сети до того, как произойдет шифрование в пользовательском режиме.

    Шифрование файлов

    Петя выполняет шифрование двумя способами:

    • После того, как Petya распространился на другие компьютеры, происходит шифрование в пользовательском режиме, когда файлы с определенным расширением зашифровываются на диске.
    • В MBR добавлен специальный загрузчик, который используется для загрузки симулятора CHKDSK. Этот симулятор используется, чтобы скрыть факт шифрования диска. Это делается после того, как происходит шифрование в пользовательском режиме, и, следовательно, шифрование является двояким: пользовательский режим и полный диск.

    Шифрование в пользовательском режиме

    После того, как распространение произошло, Петя затем перечисляет все файлы на любом фиксированном диске (например, C: \) и проверяет наличие любого из следующих расширений файлов (пропуская каталог % Windir% на этом диске):

    .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz. час hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi.py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

    Если какое-либо из расширений файлов совпадает с расширениями в списке файлов, происходит шифрование.

    Wiper против программ-вымогателей

    Как уже упоминалось, Петя выполняет двойное шифрование; сначала определенные типы файлов шифруются в пользовательском режиме после того, как происходит распространение, и ключ шифруется встроенным открытым ключом, кодируется в кодировке Base64 и добавляется в README.TXT-файл.

    После перезагрузки системы загружается зараженная MBR, начинается шифрование диска и пользователю отображается записка о выкупе. «Ключ установки», упомянутый в записке о выкупе, представляет собой случайно сгенерированную строку, отображаемую пользователю. Затем для шифрования диска используется случайно сгенерированный ключ Salsa20. Поскольку нет никакой связи между «ключом установки» и ключом Salsa20, диск невозможно расшифровать. Это свидетельствует о том, что Петя — это скорее вайпер, чем вымогатель.

    Часто задаваемые вопросы

    Защищен ли я от программы-вымогателя Petya?

    Продукты

    Symantec Endpoint Protection (SEP) и Norton проактивно защищают клиентов от попыток распространения Petya с помощью EternalBlue. Технология определения поведения SONAR также активно защищает от заражения Petya.

    Продукты Symantec

    , использующие версии определений 20170627.009, также определяют компоненты Petya как Ransom.Petya.

    Что такое Петя?

    Петя существует с 2016 года.Он отличается от обычных программ-вымогателей тем, что не только шифрует файлы, но также перезаписывает и шифрует основную загрузочную запись (MBR).

    В этой последней атаке на зараженных компьютерах отображается следующая записка о выкупе с требованием уплаты 300 долларов в биткойнах для восстановления файлов:

    Вакцинация всех ваших сетевых машин против NotPetya

    Как мы и все остальные предсказывали, вариант WannaCry / WannCrypt был выпущен в «дикую природу»: NotPetya (ранние проверки на вирусы отметили его как прошлогодний Petya, но это не так).

    Мы внимательно следили за этим в течение дня и разработали пакет, который мог бы предотвратить заражение NotPetya. Нет, это не гарантия, и хотя это подтверждено надежными источниками (Амит Серпер, Hacker Fantastic, Reddit’s / r / netsec), на самом деле это не значит, что это надежная вещь, волшебная пуля, безопасный единорог.

    Судя по тому, что мы смогли собрать из приведенных выше источников, программа-вымогатель NotPetya ищет файл с именем perfc в каталоге C: \ Windows, используя подстановочный знак perfc.* при установке самой.

    Примечание : вы можете создать perfc.dll, perfc.dat, perfc.bin и т. Д., Если хотите быть очень тщательными, но нет никаких свидетельств того, что это дает какие-либо дополнительные преимущества.

    Предупреждение : Мы не тестировали эту предлагаемую иммунизацию и не проверяли достоверность каких-либо заявлений или заявлений, сделанных любым из вышеуказанных агентов или любым другим источником. Используйте это на свой страх и риск, поскольку приведенные здесь инструкции предоставляются «как есть».

    Важно:

    1. Даже если на машинах установлены все исправления, одна взломанная машина может заразить все машины. NotPetya может распространяться через WMI и PsExec (который он устанавливает), а не через SMBv1. Говоря о…

    2. Также важно отметить, что EnternalBlue (WannaCrypt) — это только один закрытый вектор атаки. NotPetya использует несколько векторов атак (WMI, PsExec), большинство из которых не имеют исправлений на момент написания этого блога. Опять же, одна зараженная машина может заразить все ваши исправные машины.

    3. И еще одно важное замечание, в основном теория / слухи на данный момент, когда NotPetya запускает PsExec, он делает это с помощью ключа -c для установки / запуска в ADMIN $, поскольку этот каталог почти всегда существует в удаленных системах.

    Теперь, чтобы потенциально иммунизировать ваши системы от NotPetya, вот удобный пакет, который вы можете создать с помощью PDQ Deploy.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *