Новый вид шифровальщика Petya: Технические детали заражения

2017-06-28 5702 комментарии
Спустя месяц после массового заражения Wannacry, Европу и другие континенты поразила новая хакерская атака с использованием шифровальщика Petya, известного в кругах IT-безопасности как Petna

Новый вид шифровальщика Petya: Технические детали заражения

Угроза была впервые обнаружена утром 27 июня на территории Украины. Шифровальщиком оказались заражены компьютеры правительства Украины, киевского аэропорта Борисполь, крупной энергетической компании “Укрэнерго”, Центрального банка и даже недействующей Чернобыльской АЭС.

В дальнейшем угроза распространилась и появилась в отдельных точках Европы. Инфекция затронула британское рекламное агентство WPP, французскую строительную компанию Saint-Gobain, российскую нефтяную компанию “Роснефть” и датскую транспортную компанию AP Moller-Maersk. Заражения Petya уже зафиксированы в 14 странах включая США, Бразилию, Мексику и Иран.

Интересно, что данная версия Petya использует те же эксплойты АНБ, которые позволили Wannacry заразить более 200 000 компьютеров в мае этого года. Несмотря на доступность патчей безопасности и четких рекомендации, многие компании похоже проигнорировали советы экспертов.

Станут ли последствия данной атаки более катастрофическими, чем Wannacry? Что можно предпринять для защиты вашего компьютера и сети?

Знакомство с вирусом Petya

В некотором смысле, новый вариант Petya похоже тесно связан с известным семейством шифровальщиков Petya. Petya впервые был обнаружен в конце марта 2016 года. Отличительной особенностью Petya являлась реализация собственной операционной системы, которая устанавливалась и загружалась вместо Windows. Таким образом, зловред мог зашифровывать различные критические системные файлы на загрузочном диске во время перезагрузки. Новый образец Petya также использует данную технику и включает почти полностью скопированный код собственной операционной системы Petya. Однако, способы распространения, шифрования файлов и заражения систем различаются.

После успешного заражения системы Petya показывает экран выкупа, доступный только на английском языке, с просьбой заплатить сумму в биткойнах, эквивалентную 300 долларов на кошелек, связанный с адресом posteo.net:

После успешного заражения системы Petya показывает экран выкупа

По состоянию на 12 часов по Москве 28 июня на кошелек поступило 40 оплат, которые принесли автору вредоносной программы в общей сумме более 9 тысяч долларов. Многие жертвы в попытках восстановить доступ к файлам оплачивают выкуп, потому что запрашиваемая сумма является относительно небольшой.

Способы заражения Petya

Первая волна заражений Petya началась с взлома популярного украинского разработчика ПО M.E.Doc. Неизвестные хакеры получили доступ к серверам обновлений программного обеспечения и распространяли шифровальщик Petya под видом обновления программного обеспечения клиентам компании. Подобные методы использовались для запуска волны заражения в других семействах шифровальщиков, таких как XData.

Как только ряд систем был заражен Petya смог быстро распространиться благодаря эксплойту ETERNALBLUE из коллекции Агентства Национальной безопасности США, который был украден у данного ведомства хакерской группировкой Shadow Brokers. Данный эксплойт использует уязвимость в протоколе SMBv1 и позволяет получить контроль над системами, удовлетворяющими следующим условиям:

  • включен протокол SMBv1
  • система доступна из Интернета
  • в системе не установлен патч MS17-010, выпущенный в марте 2017 года

Если эксплуатация ETERNALBLUE пройдет успешно, он установит бэкдор в системе под кодовым названием DOUBLEPULSAR. DOUBLEPULSAR используется вредоносным ПО для отправки себя в эксплуатируемую систему и последующего исполнения.

Кроме того, для распространения по уязвимой сети Petya использует различные административные функции, интегрированные в Windows. Это означает, что одной непропатченной машины может быть достаточно, чтобы заразить целую сеть, даже если другие машины полностью обновлены. Petya использует инструментарий управления Windows (WMI) и популярный инструмент PsExec в сочетании с общими сетевыми ресурсами, чтобы облегчить процесс распространения шифровальщика в локальной сети.

Как Petya зашифровывает файлы

Petya состоит из двух разных модулей. Первый модуль очень схож с классическими семействами шифровальщиков. Он зашифровывает до 1 Мб первых секторов файлов следующих расширений:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Для шифрования файлов вирус Petya использует алгоритм AES с 128-битным ключом. Затем этот ключ шифруется с использованием открытого ключа RSA, встроенного в исполняемый файл шифровальщика.

Второй модуль был полностью позаимствован из прошлогоднего Petya. Он состоит из небольшой операционной системы, которая устанавливается в главную загрузочную запись системы (MBR), при условии, что система может загрузиться через MBR, а шифровальщик смог получить необходимые права. Как только Petya OS загрузится, вредоносная программа находит и зашифровывает таблицу основных файлов загрузочного диска, используя шифр потока Salsa20.

“Главная файловая таблица” (Master File Table) представляет собой внутреннюю структуру файловой системы NTFS Windows. Фактически она отслеживает, где именно на диске данные располагаются для каждого файла. Кроме того, собственная система Petya также зашифровывает первые секторы каждого файла, чтобы предотвратить работу инструментов восстановления файлов. Без главной файловой таблицы Windows не может распознать данные на диске и становится неработоспособной.

Как защититься от Petya

Рекомендации, разработанные для защиты от WannaCry также эффективны в случае с Petya. В качестве немедленной меры убедитесь, что на компьютерах и серверах Windows установлены последние обновления безопасности. После предыдущей вспышки Microsoft предприняла необычный шаг для выпуска исправлений безопасности даже для “неподдерживаемых систем”, таких как Windows XP и Windows Server 2003, поэтому даже эти системы могут быть исправлены.

Как защитить компьютер Windows от вируса Petya (NotPetya)

Лучшей защитой по-прежнему остается надежная и проверенная стратегия резервного копирования, тем более, что шифрование, используемое Petya, является безопасным. Единственный способ вернуть данные - с помощью автора трояна или путем восстановления файлов из резервных копий. Установка критических обновлений Windows также является очень важным шагом в защите системы, поскольку основным заражающим вектором Petya до сих пор является эксплойт протокола SMB1 ETERNALBLUE, который был исправлен уже несколько месяцев назад.

По материалам Emsisoft

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества