Jak malý Péťa decimoval celou Evropu

Objevila se nová varianta známého ransomware Petya, která se šíří přes internet a využívá přitom zranitelnosti EternalBlue a EternalRomance v SMB stejně jako předtím WannaCry.

Byť tento ransomware zneužívá známých zranitelností, které měly být již dávno opraveny, tak přesto došlo k napadení mnoha velkých státních institucí i soukromých subjektů.

Především na Ukrajině, kde je už nyní více jak 12500 napadených strojů. Napadené jsou počítače vládních institucí, bank, letiště, masmédií, nemocnic, čerpacích stanic, supermarketů, továren, apod. A mnohé firmy raději své počítače vypnuly, než aby riskovaly, že se nakazí.

Kromě Ukrajiny se tento ransomware samozřejmě šíří i v dalších 64 státech, kde to ale již taková sláva není. Navzdory této skutečnosti celá tato kampaň vykazuje značné známky amatérismu, a jestli byl ten ransomware pojmenován na počest Petra Porošenka, jak se píše na některých ruskojazyčných webech, tak teda nic moc.

Tento ransomware se údajně šířil několika různými způsoby. Jako aktualizace ukrajinského účetního software MeDoc, dále pak měl také číhat na některých ukrajinských webech, kdy byla použita technika watering hole a nakonec i e-mailem. Například vám může přijít anglicky psaný e-mail z adresy na doméně outlook.com, který z počátku nebyl žádným antimalware řešením ani antispam ochranou detekován jako podezřelý. Text e-mailu byl např. následující:

X

You are going to be charged $, 900.85 on your current Visa bank card momentarily. Go through attachment for information. Password is 6089.

BR!

Leroy

Přílohou tohoto e-mailu pak byl soubor s název Scan_X.doc, kde X je část e-mailové adresy příjemce uvedené před zavináčem. Ale může se ovšem jmenovat i jinak. Po otevření je uživatel vyzván k povolení makra. To není obfuskované a má jen jeden řádek, který slouží ke stažení ransomware z Internetu ihned po otevření tohoto dokumentu a jeho spuštění.

Stahovaný soubor měl název svchost.exe, ale může se rovněž jmenovat i jinak. Na napadeném počítači se pak snaží využít zranitelnosti v SMB anebo přes vlastní rutinu alá Mimikatz získat přihlašovací údaje z lsass.exe a pak se dostat na další počítače v síti, tedy zkopírovat se do sdílených adresářů a přes psexec a wmic se spustit.

Zdá se, že tento malware byl cílen výhradně na Ukrajinu a jeho další šíření byl neplánovaný vedlejší efekt, ke kterému došlo např. v okamžiku, kdy daný počítač měl veřejnou IP adresu anebo se nacházel ve firmě, která měla zahraniční pobočky, jejichž počítače se nacházely ve stejné síti.

Pokud dojde ke spuštění tohoto ransomware, tak dojde k zapsání kódu do MBR a naplánování restartu počítače po 10 minutách. Po restartu dojde ke spuštění falešného checkdisku a zašifrování souborů. Poté je zobrazena výzva k zaplacení výpalného ve výši cca 300 USD v Bitcoinech.

Nyní již antimalware řešení tento ransomware detekují a URL odkud se stahuje vlastní ransomware jsou blokovány stejně jako e-mailová adresa wowsmith123456@posteo.net, která měla být použita ke komunikaci s útočníky.

Obrana před tímto ransomware by měla být jednoduchá, stačí vytvořit soubor C:\Windows\perfc jen pro čtení (Read-only). V takovém případě ransomware soubory nezašifruje. V případě, že už k nákaze došlo a nastartuje falešný checkdisk, tak by mělo stačit počítač okamžitě vypnout a nabootovat z externího média MBR opravit.

Jinak samozřejmě platí, že byste měli udržovat systém a veškeré aplikace aktuální a nespouštět nevyžádané soubory a makra od neznámých odesílatelů.

Poznámka: Panují určité nejasnosti ohledně toho, jak probíhá samotné šifrování, tedy jaké algoritmy a klíče byly použity, a zda vůbec je dešifrování možné a nejedná se jen o wiper, jehož cílem nebyl zisk, ale jen způsobit škodu.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. Robert Malý

    Musím souhlasit s „celá tato kampaň vykazuje značné známky amatérismu“, ani u dropperu nebyla snaha o obfuskaci, jen spuštění PS a stažení svchost.exe a jeho spuštění. Spousta zdrojového kódu k malware je na Internetu a hlavně jsou prázdniny, děti mají spoustu volného času, tak proč si nezkusit nějaký mimoškolní kreativní projekt;)


K článku “Jak malý Péťa decimoval celou Evropu” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: