Zmasowany atak ransomware zbiera żniwo w Europie – Strona główna price of 1 bitcoin in inr

Jak już wspomnieliśmy, aby dostać się do systemu, Petya wykorzystuje PsExec – oficjalny programa narzędziowy firmy Microsoft służący do uruchamiania procesów zdalnych systemach, oraz eksploita EternalBlue. Diez ostatni, użyty już wcześniej w ataku WannaCry, wymierzony jest w lukę w zabezpieczeniach protokołu Bloque de mensajes del servidor (SMB) v1. Gdy nowa odmiana wirusa Petya jest już w systemie, uruchamia się za pomocą procesu rundll32.exe, po czym rozpoczyna szyfrowanie z wykorzystaniem pliku perfc.dat znajdującego się w folderze Windows.

Następnie Petya dodaje zaplanowane zadanie, które powoduje zrestartowanie systemu po co najmniej godzinie. Równocześnie sektor MBR (Registro de arranque maestro) jest modyfikowany w taki sposób, aby narzędzie szyfrujące zaszyfrowało dane, a na ekranie ukazała się informacja z żądaniem okupu. Na początku, w trakcie szyfrowania, wyświetlany jest fałszywy komunikat programu CHKDSK. Petya nie zmienia rozszerzeń żadnego z zaszyfrowanych plików, co jest nietypowe w przypadku ataków ransomware. Lista rozszerzeń szyfrowanych plików zawiera ponad 60 pozycji. Warto podkreślić, żse a głównie typy plików używane w systemach przedsiębiorstw, brakuje natomiast obrazów i plików wideo, będących celem innych Ataków ransomware.

Nowa odmiana szkodliwego oprogramowania Petya przypomina WannaCry nie tylko ze względu na wykorzystanie Eksploita EternalBlue. W obu przypadkach proces wyłudzania okupu jest stosunkowo prosty, a borroso użyli zakodowanego adresu Bitcoin, przez co odszyfrowywanie danych wymaga od nich znacznie większego nakładu pracy. Pod tym względem nowy wirus Petya różni się od swoich wcześniejszych odmian, które miały bardziej rozbudowany interfejs użytkownika dla tego procesu. Desde el principio de la publicación 300 300 dólares, se trata de un sitio de Bitcoin y una tarjeta de crédito de 7500 USD. Podobnie jak po każdym ataku ransomware, również w tym przypadku odradzamy płacenie okupu, zwłaszcza że konto correo electrónico podane w komunikacie Petyi nie jest już aktywne.

Gdy szkodliwe oprogramowanie ransomware znajdzie się w systemie, umieści na maszynie docelowej plik psexec.exe jako dllhost.dat. Zostawi również swoją kopię w pliku \\ {nombre de la máquina remota} \ admin $ \ {nombre de archivo de malware}. Następnie wykona top kopię, wykorzystując lokalnie plik dllhost.dat (en broma a nazwa pliku narzędzia PSExec) z następującymi parametrami:

Odkryliśmy, że ta odmiana wirusa Petya stosuje zaawansowaną metodę wydobywania informacji z zainfekowanego systemu. Haga clic aquí para ver más fotos de wykorzystuje wiarygodne narzędzie zabezpieczające Mimikatz, które zostało poddane odpowiedniej modyfikacji. 32- i 64-bitowe pliki wykonywalne tego narzędzia szyfrowane i przechowywane w sekcji zasobów oprogramowania ransomware. Wydobywanie danych rozpoczyna się, gdy główny proces szkodliwego oprogramowania otwiera kanał, którego zmodyfikowany Mimikatz używa do zapisywania swoich wyników. Wyniki te następnie odczytywane przez główny proces szkodliwego oprogramowania. Jak już wspomnieliśmy, za pomocą tych pobranych informacji Petya może rozprzestrzeniać siêne inin systemy w sieci lokalnej.

Polska nie jest odrębną wyspą na mapie Internetu – także jesteśmy narażeni na ataki cyberprzestępców, w efekcie wiele firm różnej wielkości oraz z wielu branż zostało zaatakowanych przz iozpañol / ícu Ponieważ szkodliwe oprogramowanie wykorzystuje różne techniki do infekowania kolejnych komputerów, wiele osób i instytucji może być narażonych na skuteczny atak powodujący zaszyfrowanie danych oraz zablokowanie dostępu do systemu komputerowego. Jeśli PETYA będzie miał możliwość zarażenia komputera w tej samej sieci lokalnej, zrobi para bez żadnej interakcji z użytkownikiem – dlatego też jeden zainfekowany komputer może oznaczaaz infcc cccccccc-

Ransomware para pierwszy skuteczny na masową skalę model biznesowy dla cyber-kryminalistów. Przy niewielkim nakładzie środków i praktycznie zerowym zagrożeniu karą mogą oni zarazić szkodliwym oprogramó v. O ile osoby i firmy są w posiadaniu kopii zapasowych i mogą pozwolić sobie na przestój niezbędny do odtworzenia systemów z takich kopii, to nie muszą i nie powinny płacić okupu. Niestety możemy się spodziewać kolejnych ataków – są to łatwe pieniądze w oczach cyberprzestępców.

banner