[AKTUALIZACJA: 28 CZERWCA 2017]Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr myśleliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci. Wygląda na to, że w przypadku tej kampanii mamy do czynienia z wiperem, który udaje oprogramowanie ransomware. Więcej na ten temat w poście: ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware
27 czerwca otrzymaliśmy raporty dotyczące nowej globalnej fali ataków z wykorzystaniem oprogramowania ransomware (występujących w mediach pod kilkoma nazwami, w tym Petya, Petrwrap, NotPetya oraz exPetr) uderzających głównie w firmy na Ukrainie, w Rosji i Europie Zachodniej. Jeśli jesteś jedną z ofiar, poniższy ekran może wydać ci się znajomy:
Rozwiązania firmy Kaspersky Lab skutecznie powstrzymują ten atak za pośrednictwem komponentu Kontroli systemu. Technologia ta zabezpiecza przed atakami z wykorzystaniem oprogramowania ransomware poprzez monitorowanie zmian w systemie i cofanie potencjalnie destrukcyjnych działań.
Aktualnie nasza telemetria wskazuje na ponad 2 000 ataków:
Wciąż prowadzimy dochodzenie, dlatego nasze wyniki nie są ostateczne. Niezależnie od szerokich spekulacji, w wyniku niezależnej analizy doszliśmy do następujących ustaleń:
W jaki sposób rozprzestrzenia się oprogramowanie ransomware?
W celu przechwycenia danych uwierzytelniających umożliwiających rozprzestrzenianie się oprogramowanie ransomware wykorzystuje niestandardowe narzędzia w stylu Mimikatz. Narzędzia te wydobywają dane uwierzytelniające z procesu lsass.exe. Następnie dane te są one przekazywane do narzędzi PsExec lub WMIC w celu dystrybucji wewnątrz sieci.
Inne zidentyfikowane wektory infekcji:
WAŻNE: Jeden zainfekowany system w sieci z danymi uwierzytelniającymi administratora może rozprzestrzenić tę infekcję na wszystkie inne komputery za pośrednictwem WMI lub PSEXEC.
Co robi oprogramowanie ransomware?
Szkodnik czeka 10-60 minut po infekcji, aby uruchomić ponownie system. Ponowne uruchomienie jest zaplanowane przy użyciu funkcji systemowych przy pomocy narzędzi “at” lub “schtasks” oraz “shutdown.exe”.
Po ponownym uruchomieniu zaczyna szyfrować tablicę w partycjach NTFS, nadpisując MBR informacją o konieczności zapłacenia okupu przy pomocy niestandardowego modułu ładującego. Więcej szczegółów na temat instrukcji dotyczących okupu znajduje się poniżej.
Szkodnik wylicza wszystkie karty sieciowe, wszystkie znane nazwy serwerów za pośrednictwem NetBIOS i pobiera listę aktualnych dzierżaw DHCP, jeśli istnieje. Każde IP w sieci lokalnej i każdy znaleziony serwer jest sprawdzany pod kątem otwartych portów TCP 445 i 139. Maszyny, które posiadają te porty otwarte, zostają następnie zaatakowane przy użyciu jeden z wyżej opisanych metod.
Zasoby 1 i 2 binarium szkodliwego oprogramowania zawiera dwie wersje niezależnego narzędzia (wersję 32-bit i 64-bit), które próbuje wydobyć loginy i hasła zalogowanych użytkowników. Narzędzie to jest uruchamiane przez główne binarium. Wszystkie wydobyte dane są przesyłane do głównego modułu za pośrednictwem nazwanego potoku o losowej nazwie w stylu GUID.
Czy jest jakaś nadzieja na odszyfrowanie plików dotychczasowych ofiar? Niestety, ponieważ ransomware wykorzystuje standardowy, solidny schemat szyfrowania, jest to mało prawdopodobne, chyba że zrobiono niewielki błąd w implementacji. Mechanizm szyfrowania wykazuje następujące cechy:
Stojący za tym atakiem cyberprzestępcy żądają 300 dolarów w bitcoinach w zamian za dostarczenie klucza w celu odszyfrowania danych. W przeciwieństwie do ataków Wannacry, technika ta może zadziałać, ponieważ osoby atakujące proszą ofiary o przesłanie swoich numerów portfeli pocztą e-mail na adres wowsmith123456@posteo.net dla potwierdzenia transakcji. Z doniesień wynika, że konto to zostało już zamknięte, co uniemożliwia pełne odszyfrowanie danych dotychczasowych ofiar.
W momencie tworzenia tego tekstu portfel Bitcoin zarejestrował 24 transakcje na łączną kwotę 2,54 BTC, czyli prawie 6 000 dolarów amerykańskich.
Poniżej przedstawiamy krótką listę zaleceń dotyczących przetrwania ataków ransomware:
Klientom korporacyjnym Kaspersky Lab zaleca się ponadto następujące działania:
Dla administratorów systemów: nasze produkty wykrywają wykorzystane w ataku próbki przy użyciu następujących werdyktów:
Nasz silnik wykrywania behawioralnego Kontrola systemu wykrywa to zagrożenie pod nazwą:
Oznaki infekcji
1 2 3 4 5 |
0df7179693755b810403a972f4466afb 42b2ff216d14c2c8387c8eabfb1ab7d0 71b6a493388e7d0b40c83ce903bc6b04 e285b6ce047015943e685e6638bd837e e595c02185d8e12be347915865270cca |
Pobierz archiwum Yara rule expetr.yara as a ZIP.
rule ransomware_exPetr {
meta:
copyright = “Kaspersky Lab”
description = “Rule to detect PetrWrap ransomware samples”
last_modified = “2017-06-27”
author = “Kaspersky Lab”
hash = “71B6A493388E7D0B40C83CE903BC6B04”
version = “1.0”
strings:
$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide
$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide
$a3 = “DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii
$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii
$a5 = “wowsmith123456@posteo.net.” fullword wide
condition:
(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}
Analizy
Blog