Подписаться arrow_upward

Вячеслав

«Лаборатория Касперского» выпустила техническое описание вируса Petya


Вирус Petya.A, поразивший множество компьютеров и корпоративных сетей в России, Украине и Восточной Европе, использовал уязвимости, «закрытые» в обновлениях к системам Microsoft Windows XP Vista, 7, 2008 следует из предварительного описания механизма действия вируса, подготовленного «Лабораторией Касперского».

Как следует из описания, вирус использует сразу несколько векторов атаки, включая эксплоит EternalBlue, использовавшихся раньше в WannaCry, и EternalRomance, способный заражать компьютеры в сети, используя TCP-порт 445. Именно эта уязвимость была закрыта в обновлении MS17-010.

Еще один вектор атаки — «нападение» на обновление стороннего украинского приложения MeDoc, используемого компаниями для отчетности и документооборота. Наконец, уже зараженные компьютеры в сети, имеющие права администратора, могут заразить все остальные компьютеры через WMI or PSEXEC.

После заражения компьютера вирус в течение 10-60 минут перезагружает систему, после чего начинает шифровать содержание диска. Вирус может зашифровать MFT-таблицу — главную таблицу, в которой хранится информация о содержимом жесткого диска с файловой системой NTFS. Однако главной целью вируса является инфицирование MBR — главной загрузочной записи, поле чего вирус шифрует весь жесткий диск. В противном случае вирус просто шифрует файлы. После этого на экране жертвы появляется окно с требованием выкупа.

На инфицированном компьютере ирус проверяет на уязвимость все сетевые адаптеры, все известные имена серверов через NetBIOS, а также проверяет все IP и сервера в локальной сети на предмет открытых портов 445 и 139 с целью инфицировать следующие устройства.

Для шифрования жестких дисков используется 128-битное AES-шифрование с открытым ключом (RSA-2048), что делает крайне сложной задачу расшифровки ключа самостоятельно. Для расшифровки хакеры требуют перечислить им $300 в биткоинах. На момент написания новости злоумышленники получили 2,54 биткоина или сумму, эквивалентную $6 тыс, что по темпам существенно больше и быстрее, чем при атаке при помои вируса WannaCry.

Чтобы упомянуть другого пользователя в комментарии, введите знак @

Упомянуть можно тех, на кого Вы подписаны или тех, кто принимал участие в дискуссии


Чтобы упомянуть ценную бумагу в комментарии, введите ее тикер после знака ^