Multinacionales son víctimas del virus "Petya"
Innholdsfortegnelse:
Petya Ransomware / Wiper Etter spredning av den første infeksjonen har Microsoft nå bevis på at noen av de aktive infeksjonene av ransomware først ble observert fra legitime Medoc oppdateringsprosess. Dette gjorde det til et klart tilfelle av forsyningskjedenesangrep i programvare som har blitt ganske vanlig med angriperne, siden det krever et forsvar på et svært høyt nivå. Bildet nedenfor viser hvordan Evit.exe-prosessen fra MEDoc utførte følgende kommando linje, Interessant lik vektor ble også nevnt av Ukraina Cyber Police i den offentlige listen over indikatorer for kompromiss. Når det er sagt, kan Petya
stjele legitimasjon og bruke de aktive øktene
Overføre ondsinnede filer på tvers av maskiner ved hjelp av fildelingstjenestene
Mangel på SMB-sårbarheter i tilfelle upatchede maskiner.
- Lateral bevegelsesmekanisme som bruker legitimasjonstyveri og etterligning skjer
- Alt begynner med at Petya slipper et legitimasjonsverktøy, og dette kommer i både 32-biters og 64-biters varianter. Siden brukere vanligvis logger inn med flere lokale kontoer, er det alltid en sjanse for at en aktiv økt vil være åpen på flere maskiner. Stolen legitimasjon vil hjelpe Petya til å få et grunnleggende tilgang.
- Når Petya har gjort det, skanner det lokale nettverket for gyldige tilkoblinger på portene tcp / 139 og tcp / 445. Deretter i det neste trinnet kalles det subnet og for hver delnettbrukere tcp / 139 og tcp / 445. Etter å ha mottatt et svar, vil malware deretter kopiere binæret på den eksterne maskinen ved å benytte filoverføringsfunksjonen og legitimasjonene som det tidligere klarte å stjele.
Psexex.exe blir droppet av Ransomware fra en innebygd ressurs. I neste trinn skanner det det lokale nettverket for admin $ -andeler og replikerer seg selv over nettverket. Bortsett fra legitimasjonsdumping, prøver malware også å stjele dine legitimasjonsbeskrivelser ved å benytte CredEnumerateW-funksjonen for å få alle de andre brukerens legitimasjon fra legitimasjonsbutikken.
Kryptering
Malware bestemmer seg for å kryptere systemet avhengig av malware prosess privilegium nivå, og dette gjøres ved å benytte en XOR-basert hashing-algoritme som kontrollerer hashverdiene og bruker den som en utelukkelse av atferd.
I neste trinn skriver Ransomware til hovedoppstartsposten og deretter settes opp systemet for å starte på nytt. Videre bruker den også den planlagte funksjonaliteten til å stenge maskinen etter 10 minutter. Nå viser Petya en falsk feilmelding etterfulgt av en faktisk Ransom-melding som vist nedenfor.
Ransomware vil deretter forsøke å kryptere alle filene med forskjellige utvidelser over alle stasjonene unntatt C: Windows. AES-nøkkelen genereres per fast stasjon, og dette blir eksportert og bruker den innebygde 2048-biters RSA-offentlige nøkkelen til angriperen, sier Microsoft.
Acronis Ransomware Protection er et Windows-freeware som gir sanntidsbeskyttelse mot alle typer ransomware som WannaCry, Petya, Cerber, Bad Kanin, AES-NI, og Osiris. Det fungerer i bakgrunnen og ser stadig etter eventuelle mistenkelige prosesser.
Å Bli angrepet av en Ransomware kan være traumatisk og kan gi deg et stort tap når det gjelder data og penger. Nylig har antallet slike
Last ned Petya ransomware dekryptere verktøy og passord generator
Petya ransomware dekryptere verktøy og passord generator er tilgjengelig som en gratis nedlasting utgitt. Få din Petya-krypterte disk tilbake uten å betale noe løsesum.
Petya ransomware hackere låst utenfor e-postkontoen sin
Tirsdag rammet Petya ransomware flere land over hele Europa, og nå er hackerne blitt låst ute av e-postkontoen deres og etterlatt ofre strandet.