Incepand de marti, 26 iunie 2017, utilizatori si companii din intreaga lume, dar mai cu seama Ucraina, au fost afectati de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea si ca Petrwrap si care pare sa reprezinte o forma modificata a unei variante cunoscute inca din anul 2016. Conform informatiilor detinute pana in prezent de CERT-RO, virusul se raspandeste doar in reteaua interna unde a avut loc infectia initiala a unei statii de lucru. Odata infectata o statie, virusul incearca raspandirea laterala in retea si, dupa o perioada de asteptare de 10-60 de minute, actioneaza.
Infectia initiala a sistemelor se realizeaza prin intermediul unor documente atasate unor mesaje email de tip phishing, pe care utilizatorii sunt indemnati sa le deschida. De asemenea, conform unor informatii publicate pe retelele de socializare de autoritatile din Ucraina, virusul s-a raspandit si prin intermediul mecanismului de actualizare al aplicatiei MeDoc (populara in Ucraina), aceasta varianta fiind confirmata si intr-o postare de pe blogul companiei de securitate Kaspersky.
Ca si in cazul WannaCry, odata infectata o statie de lucru dintr-o retea, virusul utilizeaza multiple tehnici de raspandire laterala, inclusiv:
- Exploatarea unor vulnerabilitati rezolvate de Microsoft prin buletinul MS17-010 (CVE-2017-0144, CVE-2017-0145), prin uneltele de exploatare cunoscute ca EternalBlue (utilizat si de WannaCry), DoublePulsar si EternalRomance;
- Capturarea unor credentiale administrative din memoria sistemului infectat si utilizarea acestora pentru raspandirea in retea prin WMIC (Windows Management Instrumentation Command-line) si Psexec.
Conform informatiilor detinute pana in prezent de CERT-RO, virusul se raspandeste doar in reteaua interna unde a avut loc infectia initiala a unei statii de lucru, utilizand urmatoarele tehnici de identificare a altor sisteme tinta:
- Identificarea placilor de retea de pe sistemul infectat;
- Citirea denumirilor altor sisteme din NetBIOS;
- Citirea informatiilor aferente DHCP (lease time)
Toate sistemele identificate de virus in retelele adiacente sunt scanate pe porturile TCP/445 si TCP/139 (utilizate de protocolul SMB), iar daca porturile sunt deschise incerca exploatarea vulnerabilitatilor descrise anterior.
Impact:
Odata infectata o statie de lucru, virusul incearca raspandirea laterala in retea si, dupa o perioada de asteptare de 10-60 de minute, reporneste sistemul, cripteaza tabela MFT (NTFS Master File Table) si inlocuieste codul din zona MBR a discului de stocare cu o forma proprietara ce afiseaza mesajul de rascumparare (ransom note).
Acest comportament aduce o caracteristica noua fata de alte versiuni de ransomware, in sensul ca, aditional criptarii fisierelor, se blocheaza inclusiv accesul la sistemul infectat.
Virusul cripteaza urmatoarele tipuri de fisiere (dupa extensie):
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
Suma solicitata de atacatori pentru recuperarea accesului la sistemul afectat si la fisiere este echivalentul a 300 de dolari in moneda virtuala Bitcoin, evolutia platilor putand fi urmarita la adresa:
