CERT-RO, despre ransomware-ul Petya:  Virusul se raspandeste doar in reteaua interna unde a avut loc infectia initiala a unei statii de lucru

de Vlad Barza     HotNews.ro
Miercuri, 28 iunie 2017, 12:16 Economie | IT

Incepand de marti, 26 iunie 2017, utilizatori si companii din intreaga lume, dar mai cu seama Ucraina, au fost afectati de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea si ca Petrwrap si care pare sa reprezinte o forma modificata a unei variante cunoscute inca din anul 2016. Conform informatiilor detinute pana in prezent de CERT-RO, virusul se raspandeste doar in reteaua interna unde a avut loc infectia initiala a unei statii de lucru. Odata infectata o statie, virusul incearca raspandirea laterala in retea si, dupa o perioada de asteptare de 10-60 de minute, actioneaza.

Infectia initiala a sistemelor se realizeaza prin intermediul unor documente atasate unor mesaje email de tip phishing, pe care utilizatorii sunt indemnati sa le deschida. De asemenea, conform unor informatii publicate pe retelele de socializare de autoritatile din Ucraina, virusul s-a raspandit si prin intermediul mecanismului de actualizare al aplicatiei MeDoc (populara in Ucraina), aceasta varianta fiind confirmata si intr-o postare de pe blogul companiei de securitate Kaspersky.

Ca si in cazul WannaCry, odata infectata o statie de lucru dintr-o retea, virusul utilizeaza multiple tehnici de raspandire laterala, inclusiv:

  •     Exploatarea unor vulnerabilitati rezolvate de Microsoft prin buletinul MS17-010 (CVE-2017-0144, CVE-2017-0145), prin uneltele de exploatare cunoscute ca EternalBlue (utilizat si de WannaCry), DoublePulsar si EternalRomance;
  •     Capturarea unor credentiale administrative din memoria sistemului infectat si utilizarea acestora pentru raspandirea in retea prin WMIC (Windows Management Instrumentation Command-line) si Psexec.

Conform informatiilor detinute pana in prezent de CERT-RO, virusul se raspandeste doar in reteaua interna unde a avut loc infectia initiala a unei statii de lucru, utilizand urmatoarele tehnici de identificare a altor sisteme tinta:

  •     Identificarea placilor de retea de pe sistemul infectat;
  •     Citirea denumirilor altor sisteme din NetBIOS;
  •     Citirea informatiilor aferente DHCP (lease time)

Toate sistemele identificate de virus in retelele adiacente sunt scanate pe porturile TCP/445 si TCP/139 (utilizate de protocolul SMB), iar daca porturile sunt deschise incerca exploatarea vulnerabilitatilor descrise anterior.

Impact:


Odata infectata o statie de lucru, virusul incearca raspandirea laterala in retea si, dupa o perioada de asteptare de 10-60 de minute, reporneste sistemul, cripteaza tabela MFT (NTFS Master File Table) si inlocuieste codul din zona MBR a discului de stocare cu o forma proprietara ce afiseaza mesajul de rascumparare (ransom note).

Acest comportament aduce o caracteristica noua fata de alte versiuni de ransomware, in sensul ca, aditional criptarii fisierelor, se blocheaza inclusiv accesul la sistemul infectat.

Virusul cripteaza urmatoarele tipuri de fisiere (dupa extensie):

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Suma solicitata de atacatori pentru recuperarea accesului la sistemul afectat si la fisiere este echivalentul a 300 de dolari in moneda virtuala Bitcoin, evolutia platilor putand fi urmarita la adresa:

Mai multe puteti citi aici


Citeste mai multe despre   











[P] 1000 inseamna mai mult decat un numar

Angajatii sunt resursa cea mai importanta in orice companie, iar in cazul unui business de servicii, succesul se bazeaza pe resurse umane competente si implicate, care aduc plus valoare in relatia cu clientii. Societe Generale European Business Services, centrul care ofera servicii profesionale cu valoare adaugata in domenii precum finante, achizitii, resurse umane, KYC (Know Your Customers) si servicii de IT pentru grupul Societe Generale, a ajuns la pragul de 1000 de angajati in doar 6 ani de la infiintare.

1371 vizualizari


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version