Наша взаимовыгодная связь https://banwar.org/
28 червня 2017
поширення
Поширюється спочатку декількома способами, в тому числі у вигляді поштового вкладення (фішингова розсилка).
Для подальшого поширення всередині мережі використовує:
- Уразливість MS17-10, також, як і WannaCry;
- Віддалений доступ до консолі WMI (Windows Management Instrumentation), команди виду "wmic.exe / node:" "/ user:" "/ password:" process call create "C: \ Windows \ System32 \ rundll32.exe \" C: \ Windows \ perfc.dat \ "# 1";
- Утиліту «PSEXEC» від Microsoft (імена і паролі облікових записів збираються на зараженій машині за допомогою утиліти, аналогічної по функціональності утиліті «Mimikatz», паролі у відкритому вигляді виходять шляхом читання пам'яті процесу lsass.exe.
шифрування
Очищає системні журнали подій і журнал файлової системи за допомогою команди «wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal / D% c:» для утруднення подальшого аналізу. Самі записи в журналах подій при цьому не видаляються, лише робиться позначка в заголовку журналу про те, що він очищений, відновлення записів можливо.
Шифрування системи може здійснюватися двома різними способами:
1. Шифрування таблиці розміщення файлів $ MFT (NotPetya)
Шкідливий файл записує свій код в MBR і наступні кілька секторів (оригінальний MBR при цьому зберігається в 34 секторі в зашифрованому вигляді (xor 0x07)). Далі викликається перезавантаження системи (за допомогою команд "schtasks" і "at") і при подальшому включенні виводиться екран про роботу утиліти CHKDSK. Насправді в цей момент відбувається шифрування $ MFT з використанням криптографически стійкого шифру Salsa20 (код c схожий з оригінальним Petya). Особливість даного способу в тому, що шифруються записи про файлах, а не саме вміст файлів. Відновлення даних можливо. Способи відновлення даних:
- Вручну. Можливий пошук файлів на диску по сигнатурам, проте даний спосіб працює тільки для нефрагментовані файлів, при цьому ім'я файлу не відновлюється. Наступний який можна застосовувати спосіб, це пошук файлових записів по сигнатурі "FILE", отримання списку кластерів, що належать файлу, таким чином відновлюється вміст і ім'я файлу. Також в ході наших досліджень був розроблений метод відновлення вибіркових файлів за допомогою відновлення нерезидентного списку секторів, які належать файлу (Data Runs). Даний метод заснований на наступній концепції: виконується пошук кластера, що містить початок файлу (пошук проводиться по сигнатурі), далі номер цього кластера використовується для пошуку нерезидентного списку секторів, які належать файлу. За допомогою описаних методів можна відновити файли великого розміру, які не можна відновити пошуком по сигнатурі і автоматичними засобами;
- автоматичний: R-Studio , GetDataBack та ін;
- Відновлення MBR до перезавантаження системи можливо з командою "bootrec / FixMbr" (Vista +, в разі Windows XP можна використовувати команду "fixmbr");
- Відновлення MBR після перезавантаження, але до шифрування. Вам потрібно буде вийняти оригінальний MBR з 34 сектора (0x4400 зміщення на диску, розмір 0x200) розшифрувати (xor 0x07) і записати в початок диска.
2. Шифрування файлів (Misha)
При неможливості отримання привілеїв в системі для перезапису MBR, проводиться шифрування файлів без перезавантаження. Список шіфруемих розширень файлів: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb , gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql , tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip. Способи розшифровки в даний час невідомі, можливо лише відновлення з резервних копій, наприклад, з Volume Shadow Copy, Restore points, File History.
Платити викуп не рекомендується, так як поштовий ящик зловмисників був заблокований. В даний час викликає сумнів технічна можливість розшифровки даних, а також немає підтверджених випадків успішної розшифровки.
Чому можливе відновлення даних?
NotPetya шифрує тільки файлову таблицю, але не самі файли, тому відновити файли після цього шифрувальника можливо.
До шифрування структура файлової системи виглядає наступним чином:
На початку розділу розташована головна файлова таблиця (MFT) в якій вказані назви файлів і їх розташування. Після шифрування все посилання на файли в MFT виявляються зашифровані, але вміст файлів залишається незмінним:
Таким чином всі методи відновлення даних, засновані на карвинге (Carving), продовжують працювати. Також ідентичні записи MFT зберігаються в різних частинах файлової системи. Вони можуть потрапляти в файл hiberfil.sys, в файли директорій і MFTmirr і т.п. Тому, зібравши всі цілісні записи MFT можливо відновити навіть фрагментовані файли.
індикатори
При зараженні системи з використанням ПЗ «PSEXEC» в директорії Windows можуть бути присутніми наступні файли:
- «C: \ Windows \ perfc.dat»
- «C: \ Windows \ dllhost.dat»
рекомендації
Встановити необхідні для виправлення уразливості MS17-10 поновлення Windows:
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Відключити SMB1:
support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Також для зупинки поширення даного шкідливого ПО необхідно заблокувати запуск ВО «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно уразливих машинах, а також, якщо можливо, заблокувати, або відключити віддалений доступ до WMI.
В ході дослідження була виявлена особливість, що дозволяє запобігти зараженню через PsExec і WMI. Для цього досить створити порожній файл "C: \ Windows \ perfc".