27 июня 2017 года началась масштабная атака с использованием варианта семейства
шифровальщиков, известных как GoldenEye, от которой пострадали многие страны мира.
Помимо шифрования файлов, это семейство шифровальщиков характеризуется шифрованием MBR (главной загрузочной записи Windows) при наличии прав, блокируя полный доступ к компьютеру.

Общая информация

Данная версия вредоносной программы распространяется как DLL, которая имеет параметр, меняющийся с каждым образцом, для запуска процесса шифрования на компьютере. При запуске он шифрует определенные файлы на дисках зараженной системы. При наличии администраторских прав, он также шифрует загрузочный сектор системы, предотвращая доступ к ПК до тех пор, пока не будет введен специальный код доступа, который позволит расшифровать систему.

Такой ключ доступа предоставляется после того, как жертва осуществит оплату требуемого выкупа. Также данный шифровальщик создает запланированную задачу на выключение компьютера. После перезагрузки ПК, GoldenEye показывает ложное окно с отображением информации о том, что существуют проблемы с диском, которые будут вскоре устранены.



После этого на экране показывается окно с требованием выкупа.



Распространение

В это раз мы увидели различные методы проникновения и распространения угрозы в сетях:

• Атака против системы обновлений в MeDoc — популярном сервисе электронного
документооборота на Украине (эта страна сильно пострадала от атаки)

• ETERNALBLUE: Этот вариант угрозы использует код, который эксплуатирует уязвимость,
опубликованную Microsoft 14 марта 2017 года и описанную в бюллетене MS17-010.

• PSEXEC: Включает в себя удаленное выполнение в системе, используя команду PSEXEC.

• WMI: Содержит удаленное выполнение в системе, используя команду WMI

Общий анализ образцов

Образец 1: 7e37ab34ecdcc3e77e24522ddfd4852d

Мы не увидели направления входа. Но мы увидели три различных техники для распространения во внутренней сети:

• EternalBlue



• PSEXEC

v8 = wsprintfW(a2, L”%s \\\\%s -accepteula -s “, v3, a3);
v9 = wsprintfW(&a2[v8], L”-d C:\\Windows\\System32\\rundll32.exe \”C:\\Windows\\%s\”,#1 “, &v14)
+ v8;

• WMI

wbem\wmic.exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows
\System32\ rundll32.exe \”C:\Windows\%s\” #1



Образец 2: 71b6a493388e7d0b40c83ce903bc6b04

Мы видели, что направление входа — это EZVIT, часть продукта MeDoc, популярной системы
электронного документооборота на Украине. Это подтверждается выполнением GoldenEye через эту программу:



Мы продолжим анализировать образцы, связанные с этой кибер-атакой, и будем предоставлять новую информацию по мере ее поступления.

Советы и рекомендации

• Будьте осторожны с документами, вложенными в электронные письма от неизвестных
отправителей. Анализируйте все входящие и исходящие письма для обнаружения угроз, и
фильтруйте исполняемые файлы, чтобы предотвратить их попадение конечному пользователю.

• Обновляйте ваши операционные системы, ПО и прошивки на всех устройствах.

• В этот раз мы обнаружили использование ETERNALBLUE, а потому мы рекомендуем, чтобы вы скачали и установили следующий патч на всех компьютерах в Вашей сети:
technet.microsoft.com/en-us/library/security/ms17-010.aspx

• Доверяйте только решениям защиты конечных устройств следующего поколения, таким как Adaptive Defense и Adaptive Defense 360.

• Если вы уже являетесь клиентом Adaptive Defense, и в случае новых масштабных атак установите в решении Adaptive Defense режим работы Lock: запускайте только те процессы, которые классифицированы компанией Panda Security как надежные.

• Периодически делайте резервные копии и проверяйте, что они корректно работают и не
подключены к сети.