[AKTUALIZACJA: 28 CZERWCA 2017]Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr myśleliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci. Wygląda na to, że w przypadku tej kampanii mamy do czynienia z wiperem, który udaje oprogramowanie ransomware. Więcej na ten temat w poście: ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware    

27 czerwca otrzymaliśmy raporty dotyczące nowej globalnej fali ataków z wykorzystaniem oprogramowania ransomware (występujących w mediach pod kilkoma nazwami, w tym Petya, Petrwrap, NotPetya oraz exPetr) uderzających głównie w firmy na Ukrainie, w Rosji i Europie Zachodniej. Jeśli jesteś jedną z ofiar, poniższy ekran może wydać ci się znajomy:   

Rozwiązania firmy Kaspersky Lab skutecznie powstrzymują ten atak za pośrednictwem komponentu Kontroli systemu. Technologia ta zabezpiecza przed atakami z wykorzystaniem oprogramowania ransomware poprzez monitorowanie zmian w systemie i cofanie potencjalnie destrukcyjnych działań.    

Aktualnie nasza telemetria wskazuje na ponad 2 000 ataków:

Wciąż prowadzimy dochodzenie, dlatego nasze wyniki nie są ostateczne. Niezależnie od szerokich spekulacji, w wyniku niezależnej analizy doszliśmy do następujących ustaleń:  

W jaki sposób rozprzestrzenia się oprogramowanie ransomware?

W celu przechwycenia danych uwierzytelniających umożliwiających rozprzestrzenianie się oprogramowanie ransomware wykorzystuje niestandardowe narzędzia w stylu Mimikatz. Narzędzia te wydobywają dane uwierzytelniające z procesu lsass.exe. Następnie dane te są one przekazywane do narzędzi PsExec lub WMIC w celu dystrybucji wewnątrz sieci.      

Inne zidentyfikowane wektory infekcji:

• Zmodyfikowany exploit EternalBlue, wykorzystywany również przez WannaCry.
• Exploit EternalRomance – exploit pozwalający na zdalne wykonanie kodu, atakujący systemy Windows XP do Windows 2008 przez port TCP 445 (Uwaga: luka została załatana w ramach MS17-010).
• Atak na mechanizm aktualizacji ukraińskiego oprogramowania o nazwie MeDoc.

WAŻNE: Jeden zainfekowany system w sieci z danymi uwierzytelniającymi administratora może rozprzestrzenić tę infekcję na wszystkie inne komputery za pośrednictwem WMI lub PSEXEC.

Co robi oprogramowanie ransomware?

Szkodnik czeka 10-60 minut po infekcji, aby uruchomić ponownie system. Ponowne uruchomienie jest zaplanowane przy użyciu funkcji systemowych przy pomocy narzędzi “at” lub “schtasks” oraz “shutdown.exe”.   

Po ponownym uruchomieniu zaczyna szyfrować tablicę w partycjach NTFS, nadpisując MBR informacją o konieczności zapłacenia okupu przy pomocy niestandardowego modułu ładującego. Więcej szczegółów na temat instrukcji dotyczących okupu znajduje się poniżej.     

Przegląd sieci

Szkodnik wylicza wszystkie karty sieciowe, wszystkie znane nazwy serwerów za pośrednictwem NetBIOS i pobiera listę aktualnych dzierżaw DHCP, jeśli istnieje. Każde IP w sieci lokalnej i każdy znaleziony serwer jest sprawdzany pod kątem otwartych portów TCP 445 i 139. Maszyny, które posiadają te porty otwarte, zostają następnie zaatakowane przy użyciu jeden z wyżej opisanych metod.       

Wydobycie hasła

Zasoby 1 i 2 binarium szkodliwego oprogramowania zawiera dwie wersje niezależnego narzędzia (wersję 32-bit i 64-bit), które próbuje wydobyć loginy i hasła zalogowanych użytkowników. Narzędzie to jest uruchamiane przez główne binarium. Wszystkie wydobyte dane są przesyłane do głównego modułu za pośrednictwem nazwanego potoku o losowej nazwie w stylu GUID.     

Odszyfrowanie plików

Czy jest jakaś nadzieja na odszyfrowanie plików dotychczasowych ofiar? Niestety, ponieważ ransomware wykorzystuje standardowy, solidny schemat szyfrowania, jest to mało prawdopodobne, chyba że zrobiono niewielki błąd w implementacji. Mechanizm szyfrowania wykazuje następujące cechy:       

• Dla wszystkich plików generowany jest jeden kucz AES-128.
• Klucz AES jest zaszyfrowany przy użyciu publicznego klucza RSA-2048 cyberprzestępców.  
• Zaszyfrowane klucze AES są zapisywane w pliku README.
• Klucze są generowane w bezpieczny sposób.

Stojący za tym atakiem cyberprzestępcy żądają 300 dolarów w bitcoinach w zamian za dostarczenie klucza w celu odszyfrowania danych. W przeciwieństwie do ataków Wannacry, technika ta może zadziałać, ponieważ osoby atakujące proszą ofiary o przesłanie swoich numerów portfeli pocztą e-mail na adres wowsmith123456@posteo.net dla potwierdzenia transakcji. Z doniesień wynika, że konto to zostało już zamknięte, co uniemożliwia pełne odszyfrowanie danych dotychczasowych ofiar.        

W momencie tworzenia tego tekstu portfel Bitcoin zarejestrował 24 transakcje na łączną kwotę 2,54 BTC, czyli prawie 6 000 dolarów amerykańskich.   

Poniżej przedstawiamy krótką listę zaleceń dotyczących przetrwania ataków ransomware:

• Stosuj niezawodny pakiet ochrony przed szkodliwym oprogramowaniem z wbudowaną ochroną przed oprogramowaniem ransomware, np. Kontrola systemu w ramach Kaspersky Internet Security.
• Dopilnuj, aby system Windows i wszystkie programy były aktualne. Należy niezwłocznie zastosować biuletyn MS17-010.
• Nie otwieraj załączników z niezaufanych źródeł.
• Utwórz kopię zapasową poufnych danych na urządzeniu pamięci zewnętrznej i przechowuj je offline.

Klientom korporacyjnym Kaspersky Lab zaleca się ponadto następujące działania:

• Sprawdź, czy wszystkie mechanizmy ochrony zostały aktywowane zgodnie z zaleceniami, a komponenty KSN i Kontrola systemu (które są włączone domyślnie) nie są wyłączone.   
• Jako dodatkowy środek bezpieczeństwa, klienci korporacyjni powinni wykorzystywać Kontrolę uprawnień aplikacji w celu odmowy dostępu (a tym samym możliwości interakcji lub wykonania) wszystkim grupom aplikacji do pliku o nazwie “perfc.dat” oraz PSexec utility (element Sysinternals Suite)
• Alternatywnie można wykorzystać komponent Kontrola uruchamiania aplikacji wchodzący w skład Kaspersky Endpoint Security w celu zablokowania wykonania narzędzia PSExec (element Sysinternals Suite), jednak w celu zablokowania “perfc.dat” prosimy użyć Kontroli uprawnień aplikacji.
• Skonfiguruj i włącz tryb domyślnej odmowy (Default Deny) komponentu Kontroli uruchamiania aplikacji Kaspersky Endpoint Security, aby zapewnić proaktywną ochronę przed tym i innymi atakami.

Dla administratorów systemów: nasze produkty wykrywają wykorzystane w ataku próbki przy użyciu następujących werdyktów:

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Nasz silnik wykrywania behawioralnego Kontrola systemu wykrywa to zagrożenie pod nazwą:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

Oznaki infekcji

0df7179693755b810403a972f4466afb 42b2ff216d14c2c8387c8eabfb1ab7d0 71b6a493388e7d0b40c83ce903bc6b04 e285b6ce047015943e685e6638bd837e e595c02185d8e12be347915865270cca

Reguły Yara

Pobierz archiwum Yara rule expetr.yara as a ZIP.

rule ransomware_exPetr {
meta:

copyright = “Kaspersky Lab”
description = “Rule to detect PetrWrap ransomware samples”
last_modified = “2017-06-27”
author = “Kaspersky Lab”
hash = “71B6A493388E7D0B40C83CE903BC6B04”
version = “1.0”

strings:

$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide
$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide
$a3 = “DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii
$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii
$a5 = “wowsmith123456@posteo.net.” fullword wide

condition:

(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}