Trojan.Ransom.Petya (Petya 2.0 2016 Ransomware, flashing lights warning)
目录:
Petya Ransomware / Wiper 一直在欧洲造成严重破坏,当乌克兰首次出现感染时, 12,500台机器受到了损害。最糟糕的部分是感染也蔓延到比利时,巴西,印度和美国。 Petya具有蠕虫功能,可以在网络中横向传播。微软已经就如何处理Petya,
Petya Ransomware / Wiper
发布了指导方针。在最初的感染传播之后,微软现在已经有证据表明,勒索软件的一些主动感染首先是从合法的MEDoc更新过程。这使得它成为了软件供应链攻击的一个明显例子,它已经成为攻击者非常常见的情况,因为它需要防御非常高的级别。
上面的图片显示了MEDoc中的Evit.exe进程如何执行以下命令有趣的是,乌克兰网络警察在公开的折衷指标清单中也提到了类似的载体。也就是说Petya能够
- 窃取凭证并利用活动会话
- 通过使用文件共享服务跨计算机传输恶意文件
- 在未安装补丁的计算机上滥用SMB漏洞
使用证书盗窃和假冒的横向移动机制发生
这一切都始于Petya放弃证书倾销工具,它有32位和64位两种版本。由于用户通常使用多个本地帐户登录,因此活动会话中的一个会始终在多台计算机上打开。被窃取的证书将帮助Petya获得基本的访问级别。
完成后,Petya会扫描本地网络以查看端口tcp / 139和tcp / 445上的有效连接。然后在下一步中,它调用子网和每个子网用户tcp / 139和tcp / 445。获得响应后,恶意软件将通过使用文件传输功能和先前设置的凭据来复制远程计算机上的二进制文件。
Ransomware从嵌入资源中删除psexex.exe 。在下一步中,它会扫描本地网络中的admin $共享,然后通过网络进行自我复制。除了凭证转储之外,恶意软件还会尝试通过使用CredEnumerateW函数窃取凭证,以便从凭证存储区获取所有其他用户凭据。
加密
恶意软件根据以下情况决定加密系统:恶意软件进程权限级别,这是通过采用基于XOR的散列算法来完成的,该算法根据散列值进行检查并将其用作行为排除。
在下一步中,Ransomware将写入主引导记录,然后设置启动系统重启。此外,它还使用计划任务功能在10分钟后关闭机器。现在Petya显示一个假的错误信息,后面跟着一个实际的Ransom消息,如下所示:
然后Ransomware会尝试加密除C: Windows之外的所有驱动器中具有不同扩展名的所有文件。微软表示,生成的AES密钥是每个固定驱动器,并且这个密钥会被导出并使用攻击者的嵌入式2048位RSA公钥。
Emsisoft Decrypter用于HydraCrypt和UmbreCrypt Ransomware
Emsisoft Decrypter是一款可以解密受HydraCrypt和UmbreCrypt Ransomware影响的文件的免费软件。它还可以解密受CrypBoss Ransomware影响的文件
IoT Ransomware - 我们都忽略的危险!
Ransomware是物联网的威胁吗?如果是,其影响是什么?这篇文章告诉你一切有关Ransomware在物联网及其带来的威胁。
Ransomware Response Playbook显示如何处理恶意软件
Microsoft发布了Ransomware Response Playbook,它解释了企业如何检测,减轻和移除来自他们网络的勒索软件