NotPetya 爆发:到目前为止我们所知道的

星期二 ’勒索软件爆发 袭击了世界各地的许多企业和政府实体,但到目前为止,受害者最多的是乌克兰。

 NotPetya 爆发

感染过程

如最初所相信的那样,交付的恶意软件不是 原始的Petya勒索软件 或以前看到的变体 PetrWrap .

NotPetya ,被称为这种新威胁,绝对看起来像Petya,并使用了一些代码,但具有自己的特定特征:

根据 卡巴斯基实验室 研究人员,它会在感染后等待10到60分钟以重新启动系统,然后’完成后,它将开始加密NTFS分区中的MFT表,并使用带有赎金记录的自定义加载程序覆盖MBR。

NotPetya 使用128位AES密钥对受感染PC上的文件进行加密(所有文件都使用相同的密钥),然后使用2048位RSA公用密钥加密该密钥,并将其保存到README文件中。从理论上讲,赎金支付后,攻击者可以使用他们的私有RSA密钥来解密存储的AES密钥,而受害者可以使用它来恢复其文件。

“我们发现,勒索软件不会使用匹配的扩展名对整个文件进行加密,而是对数据的第一个兆字节进行加密。这样做可能是为了节省加密过程中的时间,但也可以确保对足够多的文件进行加密,以免在不支付赎金的情况下无法恢复,” Webroot’的威胁研究分析师泰勒·莫菲特(Tyler Moffitt) 注意到的 .

NotPetya ’传播机制

NotPetya 使用多种技术闯入彩票网app并通过彩票网app进行传播,从一台计算机到另一台计算机。

“受信任的消息来源和开源报告表明,此活动的最初感染媒介是MeDoc软件包的有毒更新,MeDoc软件包是许多乌克兰组织使用的软件包,” FireEye researchers 共享 . 

“MeDoc软件更新的时机发生在6月27日,与勒索软件攻击的最初报告一致,该时机与我们在受害彩票网app中UTC大约10:12开始观察到的通过PSExec的横向移动有关。此外,MeDoc网站当前以俄语显示警告消息,说明:‘在我们的服务器上正在发生病毒攻击。对于造成您的不便,我们深表歉意!””

“我们对受害彩票网app处的工件和彩票网app流量的初步分析表明,至少部分地使用了EternalBlue SMB漏洞的修改版以及WMI命令,MimiKatz和PSExec进行横向传播,以传播其他系统”, they added.

看来攻击者没有’不想仅依靠EternalBlue和EternalRomance SMB漏洞在彩票网app内传播恶意软件。

MimiKatz用于从受感染的计算机中提取彩票网app管理员凭据’运行内存。和Windows PSExec和Windows管理规范(WMI)–通常在企业Windows计算机上找到的系统管理工具–用于远程破坏本地彩票网app上的其他系统。

也有报道称,该恶意软件可能是通过诱骗诱骗的彩票网app钓鱼电子邮件传递的,但是如果事实证明这是真的,则这种传递方法并不是最重要的。

你能做什么?

如果您的组织没有’受到恶意软件的打击,这是安装EternalBlue和EternalRomance( MS17-010 ) 提供 由微软在三月。

但这还不够。

“即使服务器已打补丁,如果系统管理员的笔记本电脑感染了Petya勒索软件,它也可以使用这些管理员凭据在彩票网app中跳转到服务器,” WhiteHat Security’s Ryan O’Leary 解释 .

“如果广泛使用的管理凭据受到损害,那么无论是否已应用MS17-010的补丁,它对于许多系统来说都是很快就会被淘汰,”Arbor Networks研究人员已经注意到。

他们指出,在许多企业中,通过PSExec和WMI进行的典型远程管理活动不会受到阻碍,并且很可能在雷达下飞舞。

“避免因修补MS17-010而引起的任何错误的安全感,并注意长期以来要求进行适当彩票网app分段以限制Petya和其他恶意软件造成的损害的呼吁,” they 建议 .

微软有 更多建议 关于你该怎么办’我已经被勒索软件所打击。

还有’当前是一种防止当前恶意软件在计算机上运行的方法:

98%确保名称为perfc.dll在c:\ windows中创建一个名为perfc的文件,没有扩展名,并且 #petya #Nopetya 韩元't run! SHARE!! //t.co/0l14uwb0p9

—Amit Serper(@ 0xAmit)2017年6月27日

您可以找到分步指南 这里 .

WHO’最新攻击背后的原因?

乍一看,这似乎是由追捕金钱的彩票网app罪犯发起的一种简单的勒索软件传播攻击。

但是事实上,货币化机制很容易受到挫败–受害者被用来与攻击者联系并确认赎金支付的电子邮件已被关闭–使研究人员相信赚钱本来不是’t the primary goal.

此外,乌克兰的受害者是人数最多且备受瞩目的事实,袭击发生在乌克兰国定假日(宪法纪念日)的前一天,而且袭击的主要目的似乎是造成严重破坏。

人们曾指责俄罗斯黑客是罪魁祸首,但最终找不到这种指控的具体证据。

IOActive咨询服务总监Daniel Miessler指出,这时的另一个重要未知数是NonPetya是否是更精心策划的攻击的组成部分。

“我们现在看到的东西是要吸引人的吗?” he 韩元ders.

一些报告指出,在某些情况下,勒索软件还伴有信息窃取恶意软件。

当你’re 这里 , check out:

分享这个