Всего за один день, криптовирус «Petya.A» стал самой масштабной кибер-атакой в истории Украины. Разобраться в его происхождении, последствиях и методах предотвращения взялись специалисты компании Integrity Vision.
В своем прошлогоднем отчете компания McAfee назвала 2016 г. «годом шифровальщиков» («year of ransomware»), но как показывают последние события, прошлый год был разминкой: только за первое полугодие 2017 г., ИТ-инфраструктуры украинских и мировых компаний подверглись кибератакам вирсуов-шифровальщиков: WannaCry, XDATA, а 27 июня — новой версии вымогателя Petya.A
Урон, нанесенный криптовирусом Petya.A, за один день активности в Украине сопоставим и превышает нанесенный WannaCry и XDATA ранее. Из открытых источников известно, что от атаки пострадало более 80 крупнейших Украинских компаний во всех отраслях экономики. Среди которых: НБУ, Ощадбанк, Укргазбанк, ПУМБ, ДТЭК, Укрэнерго, Киевэнерго, Укртелеком, Vodafone, Lifecell, Аэропорт «Борисполь», Укрпочта, «Новая Почта», Укрзализныця и многие другие, также не работали сайты издания Корреспондент, football.ua. Больше всего пострадали банки, государственные ведомства и СМИ, но поскольку не все компании публикуют данные о последствиях атаки, оценить реальное количество пострадавших предстоит в будущем.
Petya.A — новая модификация одноименного вируса-шифровальщика, который распространялся весной 2016 г. и имел несколько модификаций.
Вектор распостранения криптовируса стандартный: таргетированный пользователь получает письмо с вложением или ссылкой на вредоносный файл. Кроме того, согласно данных Microsoft, значительная часть вредоноса была распространена через обновление программного обеспечение для отчетности и документооборота — «M.E.doc.» Распространение по сети — через DoblePulsar и EternalBlue, аналогично методам вируса WannaCry.
Сразу после открытия файла происходит эксплуатации уязвимости CVE-2017-0199 и загружается файл hxxp://84.200.16.242/myguy.xls.
После загрузки запускается powershell-скрипт, который загружает остальной функционал Petya с командного сервера hххp://coffeinoffice.xyz:80/cup/wish.php.
Загружается файл C:\Windows\perfc.dat с основным функционалом шифровальщика.
Распространение шифровальщика в сети происходит по тому же сценарию, по которому распространялся WannaCry: при эксплуатации уязвимости протокола SMB (MS17-010).
Также производится создание задания отложенной перезагрузки в планировщике и очищаются логи (System, Security, Application).
Шифруется большое количество типов файлов: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Также, вредонос вносит изменения в MBR, после чего происходит перезагрузка.
При перезагрузке система уходит в BSOD, после чего пользователю демонстрируется имитация работы утилиты CHKDSK, но во время так называемой «проверки» на самом деле происходит шифрование данных (кстати данное поведение наблюдалось и в старых версиях Petya). По завершению, ПК перезагружается повторно и в модифицированном boot-скрине выводится текст сообщения шифровальщика:
Сумма выкупа — 300$ в биткоинах.
После оформления перевода пользователю рекомендуется выслать ID кошелька и персональный код на адрес злоумышленника ([email protected]) и получить в ответ ключ дешифровки.
На данный момент произведено 42 транзакции и злоумышленники заработали около 10000$ в биткоин-эквиваленте. Интересно, что уже через пару часов после начала атаки стало известно, что ключ расшифровки злоумышленники не высылают даже после оплаты.
Сегодня большинство антивирусных вендоров выпустили сигнатуры для обнаружения угрозы: https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d2...
При всплеске активности предыдущей версии Petya, пользователь под ником leostone смог разработать алгоритм, позволяющий произвести дешифрование данных.
Для этой модификации инструмента дешифрования нет. В отличии от того же WannaCry, для Petya.A также отсутствует killswitch-сайт, который предотвратит дальнейшее шифрование данных. Но для данного шифровальщика можно создать файл C:\Windows\perfc (без расширения) с правами доступа только на чтение, что послужит локальным «выключателем».
Как видим, Petya.A использует самые эффективные инструменты, доступные на данный момент, взяв наиболее удачные, с точки зрения злоумышленника, методики проведения атаки, используемые «классической» версией Petya, XDATA и WannaCry. Что не удивительно: после публикации в открытом доступе инструментария NSA ShadowBrockers, атаки такого типа будут только усиливаться и становиться все более изощренными.
Для защиты от атак нулевого дня такого типа компания CheckPoint предлагает универсальные решения по защите периметра и конечных точек: продукты CheckPoint SandBlast Zero-Day protection. PoC видео, предоставленное пользователем Nick McKerall доступно по ссылке: https://www.youtube.com/watch?v=RBM6k5ADF34
IBM ведет кампанию по мониторингу и противодействию инциденту, так что пользователи которые используют IBM QRadar с подпиской X-Force всегда могут отследить попытки активности вредоноса в своей IT-инфраструктуре с помощью компонентов Threat Intelligence: https://exchange.xforce.ibmcloud.com/collection/Petya-Ransomware-Campaig...
Компания Qualys выпустила сигнатуры обнаружения уязвимостей, которые эксплуатирует вредонос для модуля Vulnerability Manager: https://blog.qualys.com/securitylabs/2017/06/27/petya-ransomware-what-yo...
Напомним, Petya.A атаковал украинские предприятия во вторник. Специалисты выпускают свои рекомендации по предотвращению такого рода атак.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365