NotPetya: Ransomware or Wiper? - Daily Security Byte
Indholdsfortegnelse:
Petya Ransomware / Wiper Efter spredning af den oprindelige infektion har Microsoft nu bevis for, at et par af de aktive infektioner af ransomware først blev observeret fra den legitime MEDoc opdateringsproces. Dette gjorde det til et klart tilfælde af software forsyningskæden angreb, som er blevet temmelig fælles med angriberne, da det har brug for et forsvar på meget højt niveau. Billedet nedenstående viser hvordan Evit.exe-processen fra MEDoc udførte følgende kommando Line, Interessant tilsvarende blev også nævnt af Ukraines Cyber Police i den offentlige liste over indikatorer for kompromis. Når det er sagt, kan Petya
stjæle legitimationsoplysninger og gøre brug af de aktive sessioner
Overførsel af ondsindede filer på tværs af maskiner ved hjælp af fildelingstjenesterne
Misbruger SMB sårbarheder i tilfælde af updaterede maskiner.
- Lateral bevægelsesmekanisme, der bruger legitimations tyveri og efterligning sker
- Det hele begynder med Petya at droppe et credential dumping-værktøj, og dette kommer i både 32-bit og 64-bit varianter. Da brugere normalt logger ind med flere lokale konti, er der altid en chance for, at en aktiv session vil være åben på tværs af flere maskiner. Stolede legitimationsoplysninger hjælper Petya med at få et grundlæggende adgangsniveau.
- Når Petya har scannet det lokale netværk for gyldige forbindelser på portene tcp / 139 og tcp / 445. Så i det næste trin kalder det subnet og for hver subnetbrugere tcp / 139 og tcp / 445. Efter at have fået et svar, vil malware derefter kopiere binæret på fjernmaskinen ved at benytte filoverførselsfunktionen og de legitimationsoplysninger, den tidligere havde formået at stjæle.
Psexex.exe bliver droppet af Ransomware fra en integreret ressource. I det næste trin scanner det lokale netværk for admin $-aktier og replikerer derefter sig selv på tværs af netværket. Bortset fra legitimationsdumping forsøger malwareprogrammet også at stjæle dine legitimationsoplysninger ved at benytte CredEnumerateW-funktionen for at få alle de andre brugeroplysninger fra credentialbutikken.
Kryptering
Malware beslutter at kryptere systemet afhængigt af malware proces privilegium niveau, og dette gøres ved at anvende en XOR-baseret hashing algoritme, der kontrollerer hash værdierne og bruger den som en adfærd ekskludering.
I næste trin skriver Ransomware til master boot record og derefter sætter op for at genstarte systemet. Desuden bruger den også den planlagte funktionalitet til at slukke for maskinen efter 10 minutter. Nu viser Petya en falsk fejlmeddelelse efterfulgt af en faktisk Ransom-meddelelse som vist nedenfor.
Ransomware vil derefter forsøge at kryptere alle filerne med forskellige udvidelser på tværs af alle drev undtagen C: Windows. Den genererede AES-nøgle er pr. Fastdrev, og dette eksporteres og bruger den integrerede 2048-bit RSA-nøgle til angriberen, siger Microsoft.
Acronis Ransomware Protection er et Windows-freeware, der giver beskyttelse i realtid mod alle former for ransomware som WannaCry, Petya, Cerber, Bad Kanin, AES-NI og Osiris. Det fungerer i baggrunden og kigger hele tiden efter mistænkelige processer.
At blive angrebet af en Ransomware kan være traumatiserende og kan medføre et stort tab i form af data og penge. For nylig er antallet af sådanne
Download Petya ransomware dekryptere værktøj & kodeord generator
Petya ransomware dekryptere værktøj og kodeord generator er tilgængelig som en gratis download udgivet. Få din Petya krypterede disk tilbage uden at betale nogen løsepenge.
Petya ransomware hackere låst ud af deres e-mail-konto
Tirsdag ramte Petya ransomware flere lande overalt i Europa, og nu er hackerne blevet låst ud af deres e-mail-konti, hvilket efterlader ofre strandet.