Еще раз коротко о последней эпидемии


  • Если вас заразили не платите выкуп — адрес wowsmith123456@posteo.net заблокирован провайдером, что делает невозможным получение ключа для расшифровки. (о чем уже была статья — прим. пер.)
  • Распространение происходит на компьютеры с актуальной системой Windows внутри домена.
  • Создание файла по адресу C:\Windows\perfc блокирует вектор атаки через WMIC.
  • Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.

image


Также как и в случае последней атаки WannaCry рекомендуется как можно быстрее поставить обновление от Microsoft MS17-010. Если по каким то причинам поставить патч невозможно рекомендуется выключить протокол SMBv1.


Распространение вируса


Petya & Mischa, в отличие от WannaCry, распространяются внутри локальной сети (по умолчанию, безопасной среды). В изученных нами экземплярах не были встроены механизмы распространения через Интернет.


После запуска ransomware, инфецированный компьютер сканирует локальную подсеть (/24) в поиске общих сетевых ресурсов ADMIN$, чтобы скопировать payloadu на другой компьютер и запустить с помощью PsExec.


image


Следующим шагом было выполнение команды WMIC (process call create \”C:\Windows\System32\rundll32.exe \\”C:\Windows\perfc.dat\) на найденных компьютерах. Данный для подключения получались с помощью Mimikatz.


image


Последним способом распространения было использование уязвимости EternalBlue.


Как работает вирус


Ransomware сканировал только локальные диски. Сетевые и внешние диски не были целью атаки.


image


Шифровались файлы со следующими расширениями:


.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip


В механизме перезаписи загрузочного сектора MBR не найдено существенных изменений по сравнению с прошлогодней кампанией. После заражения очищаются системные логи (Setup, System, Security, Application).


В расписание задач добавляется также команда на перезапуск компьютера через час после заражения. Petya использует также недокумендированную возможность функции WinAPI NtRaiseHardError чтобы перезагрузить машину.


image

Поделиться с друзьями
-->

Комментарии (35)


  1. lash05
    29.06.2017 17:28

    рекомендуется выключить протокол SMBv1
    — Максим, есть же русскоязычная версия той же страницы у МС — https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows


  1. vilgeforce
    29.06.2017 17:52
    +2

    «Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.» — нет. Он тогда шифрует сектора дисков, а не файлы.


    1. lostpassword
      30.06.2017 07:55

      Согласен. Часть шифрования происходит ещё до «синего экрана».


  1. dmitry_ch
    29.06.2017 20:04

    Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер

    Это если точно знаешь, что это вирус орудует. В противном случае совет после перезагрузки chkdsk выключать довольно вреден. Ну а вирус, конечно, не имеет четких признаков, вроде того, чтобы выводить при начале шифрования «я вирус, сейчас сделаю всем плохо, выключайте».


    1. mistergrim
      29.06.2017 21:26
      +2

      CHKDSK не зря даёт десять секунд на отмену его запуска.
      И он никогда не выглядел так, как на скриншоте. А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки (здесь на 100% утверждать не буду).


      1. samponet
        30.06.2017 02:08

        От пользователей вы многое хотите, однако


      1. nidalee
        30.06.2017 05:40
        +2

        А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки

        Так и есть, чем жутко раздражает.


  1. chabapok
    29.06.2017 21:28

    в поиске общих сетевых ресурсов ADMIN$

    а эти ресурсы в винде что — незапаролены? Так написано, как будто вирь влез не через дырку, а через штатную возможность.


    1. SolarW
      29.06.2017 23:31
      +1

      Запаролены.
      Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
      А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.


    1. DOMINATION
      30.06.2017 01:57
      +1

      тут забыли добавить момент, что вирус использует еще одну «утилитку» для получения учетных записей и пароли админа, которые сохранены на локальной машине, а если эта машина оказалась сервером — то в руках с учеткой админа и наличием AD — возможности в сети безграничны и никакие патчи не спасут. Ну и как следствие все ПК в организации мертвые.


  1. Drakoninarius
    30.06.2017 00:37

    Расскажите лучше достаточно далекому от этого вопроса человеку, как обезопасить домашний комп, который не был обновлен еще во времена WannaCry по причине того, что не включался с тех пор (по причине перманентных командировок).


    1. N0Good
      30.06.2017 00:56
      +2

      Побуду Петросяном — не включать. Ну а если серьёзно — было ж написано — установите заплатку от МС. Ну и не открывайте странные письма с документами от неизвестных людей. Ну и ещё — ваш домашний компьютер вероятнее всего подключён к интернету не напрямую, а через роутер, так что поражение через почту — единственная возможность для этого вируса.


  1. No666VA
    30.06.2017 01:57

    Почему нет информации по PsExec? С чего вдруг он начинает выполнять программы на локальной машине? Кто ему выдал такие права? И как его ограничить в правах? Неужели не нужен пароль админа локальной машины чтобы там что-то выполнять?


    1. nidalee
      30.06.2017 05:47

      Это аналог telnet-а. Собственно, он и создан был, чтобы выполнять что-либо на удаленных машинах. Можно копировать и выполнять .exe, можно юзать cmd. Пароль нужен, он передается аргументом при выполнении psexec, а добывается другими средствами.


      1. No666VA
        01.07.2017 01:12

        Тогда как он заражал целые сети если у каждого компа свой пароль нужен? Его же явно не админ открывал как дурачек. А какая-то бухгалтерша недалекая.


        1. No666VA
          01.07.2017 01:17

          У меня тоже локальная сеть, и я уж точно не открою из письма ерунду, но вот за других юзеров не ручаюсь, они что смогут что-то на моем компе запустить? Это дыра такая или я что-то не догоняю?)


  1. lindstrom
    30.06.2017 01:58

    Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.

    А что делать дальше, после выключения компьютера?


    1. lavmax
      30.06.2017 01:59
      +1

      Подозреваю, что можно попробовать вытащить диск и подключить как внешний к другому компу. Возможно удастся прочесть часть файлов.


      1. NiTr0_ua
        30.06.2017 21:39

        r-studio вытягивает данные из частично шифрованного раздела, с сохранением структуры каталогов («скандиск» шел некоторое время пока юзер погасил комп). другие утили не смогли.

        но — doc/xls файлы будут пошифрованными («петя» не отработал, но отработал «миша»).


  1. OstJoker
    30.06.2017 09:45

    Я ведущий инженер ИТ отдела одной из гос контор Украины (это так в трудовой звучит, по сути сисадмин-эникей-тыжпрограмист). 65%- Win10, 30% — win7,8,8.1, 5% — win XP. Антивирус MSE, firewall, все ПК кроме серверов за NAT, обновления системы включены, большинство ПК как раз с разметкой MBR. Служба доступа к фалам и принтерам включена только там где есть сетевой принтер.По состоянию на сейчас, заражено НОЛЬ ПК. Что я делаю не так? Кстати, в бухгалтерии стоит гореизвестный Медок на 6 ПК и там тоже все нормально.
    За последний год было два заражения шифратором файлом через почту. В одном из случаев юзеру приходил имеил от "Приватбанка", мол у вас задолженость по кредиту (Юзер кредитов не брал) и будет насчитываться пеня и бла бла бла и во вложении файл с расширением jar если не ошибаюсь.


    1. avakyan-georgiy
      30.06.2017 11:05
      +1

      Настройте фильтр вложений по расширению на почтовом сервере, добавив те самые .jar .bat .exe .js итд.


    1. vya
      30.06.2017 17:52
      +1

      Вы допускаете типичную ошибку выжившего. =) Вирус заражает локальную сеть. Для этого ему в неё надо попасть каким-то образом. Заражение через обновления МиДок уже подтвердили. Значит либо у вас МиДок не обновился, либо обновился но позже. Либо раньше.
      А может и какая-то другая сторонняя причина, но это уже Вам разбираться.
      Прошло мимо и хорошо.
      Очередной повод задуматься, как можно сломать собственную сеть.


      1. OstJoker
        30.06.2017 18:40

        У нас корпоративная почта на gmail (гугл дает возможность учебным заведениям бесплатно пользоваться), есть ли там фильтры не в курсе, так как за почту и сайты у нас отвечает другой человек, я больше по сетям и телефонии.
        Та и много сотрудников на работе пользуются кроме корпоративной еще и личными ящиками.
        По поводу ошыбки выжившего, может оно и так, но у нас больше 300 ПК в сети, как по мне, то очень большой шанс словить вирус.
        Разработчики Медок наоборот всячески отрицают свое причастие. По поводу обновлений, помню что обновлялся он каждый день при запуске. Но утверждатьнебуду, так как сам в отпуске за 10 тыс км. от работы.
        Пока пытаюсь всячески просвещать народ что бы не открывали непонятные файлы и делали бекапы важных даных.


        1. vya
          05.07.2017 15:37

          https://geektimes.ru/post/290779/ ну теперь то смысла отрицать нет. =)


  1. trnc
    30.06.2017 11:05

    Мне больше интересно как вирус в локальную сеть попадал. Если через апдейт M.E.Doc хотелось бы увидеть конкретное подтверждение.


    1. NiTr0_ua
      30.06.2017 21:47
      +1

      да, апдейт медок. пришел знакомым, поставили, через час — синий экран и «скандиск». другие компы по сети не пострадали.
      второй подтвержденный случай — письмо на почту буху гос.службы. слег весь сегмент сети.
      слышал неподтвержденные слухи о нахождении флэшек с «петей» в авторане (лично такого не слыхал).


    1. vya
      05.07.2017 15:38

      https://geektimes.ru/post/290779/


  1. Adokelv
    30.06.2017 12:26

    Знакомые фирмы очень пострадали от этого вируса, влетели на крупные суммы


    1. EvgeniyNuAfanasievich
      30.06.2017 15:21
      -1

      Кто нибудь может уже наконец написать от первого лица, как у него происходило заражение?! Со скриншотами, результатами служебного расследования, предпринятыми заранее/после методами.
      Сейчас ситуация напоминает: "У моей подруги с её парнем"
      Впору уже вводить новую аббревиатуру в обращение: ОАС (один админ сказал...)


      1. EvgeniyNuAfanasievich
        30.06.2017 15:44
        -1

        Нет правда, я читаю статьи одна за одной и везде одно и тоже, только разными словами, а нового крупицы (что емейл заблокирован и кто-то заплатил какие то деньги).

        Не подумайте, что я не верю в этот вирус, просто такое серьезное заражение, а подробности по сути от антивирусных компаний, либо от людей знакомые которых пострадали (причем никаких доказательств чего либо люди не утруждаются представить )


      1. AGeek
        30.06.2017 17:52
        +1

        То есть статью с описанием того, как это всё происходит, вы не читали?


    1. xruyn
      30.06.2017 17:52

      Плохие фирмы, раз на экономили на админах и нанимали, наверное, студентиков.


  1. Boneyards
    30.06.2017 17:52

    Вообще M.E.Doc уже ответили:

    https://www.unian.net/science/2003586-kompaniya-medoc-otvetila-na-obvineniya-v-prichastnosti-k-rasprostraneniyu-virusa-petyaa.html


    1. NiTr0_ua
      30.06.2017 21:52

      ну а что они ответят? «да, мы облажались, наш сервер поломали и запихали левое обновление, из-за которого вы понесли огромные убытки»? :) да после этого их же на ноль помножат…

      факт остается фактом — последнее оф.обновление 22 июня, медок обновился 27-го, после чего — на компе поселился «петя», а другие компы в сегменте не пострадали.


      1. Boneyards
        30.06.2017 22:48
        +1

        Согласен, ну вообще на «Хакере» есть подробный разбор «пети») там есть ссылки на кэш гугла, сайта M.E.Doc, где писалось что они подвержены хакерской атаке аккурат перед началом массового распространения «пети»