Вчера, 27 июня, мы получили сообщения о прокатившейся по всему миру новой волне атак с использованием троянца-вымогателя (в прессе его называют Petya, Petrwrap, NotPetya и exPetr). В первую очередь нападению подверглись компании в Украине, России и Западной Европе. Если вы стали жертвой атаки, картина на скриншоте ниже наверняка вам уже знакома:
Решения «Лаборатории Касперского» успешно блокируют эту атаку с помощью компонента System Watcher. Эта технология позволяет отследить изменения в системе и произвести откат любых потенциально вредоносных действий.
Однако наше расследование продолжается, и пока о его завершении говорить слишком рано. Сейчас общественность достаточно бурно обсуждает эту тему, строятся различные теории, но ниже вы найдете то, что мы можем утверждать с уверенностью, основываясь на данных нашего независимого анализа:
Как распространяется вымогатель?
Чтобы завладеть учетными данными для распространения, программа-вымогатель использует специальные утилиты а-ля Mimikatz. Они извлекают учетные данные из процесса lsass.exe. После этого данные передаются утилитам PsExec или WMIC для распространения внутри сети.
Среди других наблюдаемых векторов заражения:
Модифицированный эксплойт EternalBlue, также использовавшийся WannaCry.
EternalRomance — эксплойт с удаленным исполнением кода, использующий уязвимости в операционной системе Windows – версий от XP до 2008 – через TCP-порт 445 (Примечание: уязвимость закрыта с помощью MS17-010)
Атака на механизм обновления стороннего программного продукта украинского производства под названием MeDoc
ВАЖНО: одна зараженная система в сети, обладающая административными полномочиями, способна заразить все остальные компьютеры через WMI или PSEXEC.
Что делает вымогатель?
После заражения вредоносная программа выжидает 10-60 минут и затем перезагружает систему. Перезагрузка происходит с использованием системных средств с инструментами «at» или «schtasks» и «shutdown.exe».
После перезагрузки троянец начинает шифровать главную файловую таблицу в разделах NTFS, перезаписывая с помощью кастомизированного загрузчика главную загрузочную запись (MBR) сообщением с требованием выкупа. Подробнее о требовании выкупа ниже.
Обследование сети
Вредоносная программа находит все сетевые адаптеры, все известные имена серверов через NetBIOS, а также извлекает список всех текущих договоров аренды DHCP, если он доступен. Каждый IP-адрес локальной сети и каждый обнаруженный сервер проверяется на наличие открытых TCP-портов 445 и 139. Затем те компьютеры, у которых есть эти порты открыты, подвергаются атаке одним из описанных выше способов.
Извлечение пароля
Ресурсы 1 и 2 двоичного кода вредоносной программы содержат две версии отдельной утилиты (32-разрядную и 64-разрядную), которая пытается извлечь логины и пароли залогиненных пользователей. Утилита управляется основным двоичным кодом. Все извлеченные данные передаются обратно в основной модуль через именованный канал со случайным GUID-подобным именем.
Расшифровка файла
Есть ли у жертв какая-то надежда на расшифровку своих файлов? К сожалению, вымогатель использует стандартную, надежную схему шифрования, поэтому расшифровка представляется маловероятной, если только не допущена какая-то мелкая ошибка в имплементации. Механизм шифрования имеет следующие особенности:
Для всех файлов генерируется единый ключ AES-128.
Этот AES-ключ зашифровывается с помощью открытого ключа RSA-2048, принадлежащего злоумышленникам.
Зашифрованные AES-ключи хранятся в файле README.
Ключи надежно сгенерированы надежны.
За ключ, который расшифровывает данные, организовавшие эту атаку злоумышленники требуют у жертвы выкуп в биткойнах, эквивалентный 300 долларам. Сумма должна быть перечислена в общий Bitcoin-кошелек. В отличие от ситуации с Wannacry, эта техника вполне работоспособна, потому что злоумышленники просят жертв отправить номер своего кошелька по электронной почте на адрес wowsmith123456@posteo.net, подтвердив таким образом транзакции. Мы видели сообщения о том, что этот электронный адрес уже заблокирован, что на данный момент лишает жертв надежды на полную расшифровку их файлов.
На момент написания этого блога в биткойн-кошелек в результате 24 транзакций поступило порядка 2,54 биткойна, это чуть меньше $6000.
Вот краткий список рекомендаций о том, как не стать жертвой программы-вымогателя:
Используйте надежное антивирусное решение со встроенной защитой от программ-вымогателей, такой как System Watcher в Kaspersky Internet Security.
Убедитесь, что вы обновили Microsoft Windows и все стороннее ПО. Крайне важно сразу же установить обновление MS17-010.
Не открывайте вложения, полученные из недоверенных источников.
Создавайте резервные копии ценных данных на внешних носителях и храните их оффлайн.
Корпоративным клиентам «Лаборатории Касперского» мы также рекомендуем:
Убедиться, что включены все защитные механизмы, как рекомендовано; особое внимание на KSN и System Watcher (они включены по умолчанию).
В качестве дополнительного средства мы рекомендуем корпоративным пользователям использовать «Контроль активности программ«, чтобы запретить всем группам приложений любой доступ (в том числе возможность взаимодействия или исполнения) к файлу под названием perfc.dat и утилите perfc.dat (часть Sysinternals Suite)
В качестве альтернативы вы также можете использовать «Контроль запуска программ» – компонент Kaspersky Endpoint Security, — чтобы запретить запуск утилиты PSExec. Но, пожалуйста, используйте Application Privilege Control, чтобы блокировать доступ к perfc.dat.
Включите и настройке режим Default Deny в компоненте Application Startup Control решения Kaspersky Endpoint Security, чтобы усилить проактивную защиту от этой и других атак.
Для системных администраторов, наши продукты обнаруживают вредоносные образцы, используемые в этой атаке, по следующим вердиктам:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
IOCs
0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
71b6a493388e7d0b40c83ce903bc6b04
e285b6ce047015943e685e6638bd837e
e595c02185d8e12be347915865270cca
Yara rules
Загрузите правила Yaraв виде ZIP-архива.
rule ransomware_exPetr {
meta:
copyright = «Kaspersky Lab»
description = «Rule to detect PetrWrap ransomware samples»
last_modified = «2017-06-27»
author = «Kaspersky Lab»
hash = «71B6A493388E7D0B40C83CE903BC6B04»
version = «1.0»
strings:
$a1 = «MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu» fullword wide
$a2 = «.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls» fullword wide
$a3 = «DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED» fullword ascii
$a4 = «1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX» fullword ascii
$a5 = «wowsmith123456@posteo.net.» fullword wide
condition:
(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}
