- PVSM.RU - https://www.pvsm.ru -
Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.
Сегодня, 27 июня 2017 г., зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, к которым относятся:
Этот перечень пополняется непрерывно, в соцсетях появляется все больше подобных фотографий:
Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:
При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16 [1][.]242, загружая вредоносный файл Myguy.xls в корень диска С:. После загрузки происходят следующие операции:
После перезагрузки пользователю отображается окно с требованием выплаты $300 в эквиваленте Bitcoin на кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. На момент 23:30 на счет злоумышленникам уже перевели 3.277 BTC (заплатили 31 человек), по текущему курсу (на момент публикации 1 BTC эквивалентен $2409) это $7894.
Первым делом необходимо обновить сигнатуры антивирусного ПО на серверах и рабочих станциях (в случае наличия антивирусного ПО) — база сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч). Вот перечень вредоносных файлов и их хеш-значений:
На уже зараженных системах указанные файлы располагаются в файловой системе в следующих папках:
В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:Windowsperfc.dll с помощью стандартного Блокнота.
Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО:
Данные с жестких дисков, зашифрованных старым вирусом Petya, восстанавливались следующим образом: www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released [11]
Сам дешифратор для старой версии Petya был опубликован на Github: github.com/leo-stone/hack-petya [12]
Дешифратора для новой версии Petya.C еще нет.
В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.
Существует SIGMA-правило для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch:
title: PsExec tool execution on destination host
status: experimental
description: Detects PsExec service installation and execution events (service and Sysmon)
author: Thomas Patzke
reference: www.jpcert.or.jp/english/pub/sr/ir_research.html [13]
logsource:
product: windows
detection:
service_installation:
EventID: 7045
ServiceName: 'PSEXESVC'
ServiceFileName: '*PSEXESVC.exe'
service_execution:
EventID: 7036
ServiceName: 'PSEXESVC'
sysmon_processcreation:
EventID: 1
Image: '*PSEXESVC.exe'
User: 'NT AUTHORITYSYSTEM'
condition: service_installation or service_execution or sysmon_processcreation
falsepositives:
— unknown
level: low
Причиной широкого распространения вируса является невыполнение базовых необходимых мероприятий по защите от направленных атак подобного рода:
Организационные мероприятия не могут обеспечить надежной и эффективной защиты от направленных атак и вымогательского ПО, поэтому требуется выполнение комплекса технических мероприятий, о которых мы рассказали в нашей предыдущей статье.
Автор: Евгений Бородулин, главный архитектор компании «Информзащита»
e.borodulin@infosec.ru
Автор: infosecurity_iz
Источник [14]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/258980
Ссылки в тексте:
[1] 84.200.16: http://84.200.16
[2] french-cooking: http://french-cooking
[3] 111.90.139: http://111.90.139
[4] coffeeinoffice: http://coffeeinoffice
[5] technet.microsoft.com/en-us/library/security/ms17-010.aspx: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[6] download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
[7] download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
[8] download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
[9] portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
[10] support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1
[11] www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released: https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
[12] github.com/leo-stone/hack-petya: https://github.com/leo-stone/hack-petya
[13] www.jpcert.or.jp/english/pub/sr/ir_research.html: https://www.jpcert.or.jp/english/pub/sr/ir_research.html
[14] Источник: https://habrahabr.ru/post/331788/
Нажмите здесь для печати.