Petya Ransomware / 새로운 병에 든 오래된 와인이다.

Petya Ransomware / Wiper 는 유럽에서 큰 혼란을 불러 일으켰으며 우크라이나에서 처음으로 감염이 보였습니다. 12,500 대의 컴퓨터가 손상되었습니다. 최악의 부분은이 감염이 벨기에, 브라질, 인도 및 미국에도 퍼져 나갔다는 것입니다. Petya는 웜 기능을 통해 네트워크 전반에 걸쳐 확산 될 수 있습니다. 마이크로 소프트는 Petya와 어떻게 대처할 지에 대한 가이드 라인을 발표했다. Petya Ransomware / Wiper

초기 감염이 확산 된 후, Microsoft는 현재 중재 기의 활동적인 감염 중 일부가 합법적 인 것으로부터 처음으로 관찰되었다는 증거를 가지고있다 MEDOC 업데이트 프로세스. 이로 인해 공격자와 매우 공통점을 갖게 된 소프트웨어 공급망 공격이 매우 명확하게 나타났습니다.

위 그림은 MEDOC의 Evit.exe 프로세스가 다음 명령을 실행하는 방법을 보여줍니다 라인, 흥미롭게도 비슷한 벡터는 타협의 지표 공개 목록에서 우크라이나 사이버 경찰에 의해 언급되었습니다. 즉, Petya는

자격 증명을 훔치고 활성 세션을 사용할 수 있다고합니다.

• 파일 공유 서비스를 사용하여 시스템간에 악성 파일 전송
• 패치되지 않은 시스템의 경우 SMB 취약성 악용
• 자격 증명 절도 및 가장을 사용하는 측면 이동 메커니즘

Petya가 자격 증명 투기 도구를 삭제하는 것으로 시작하는 것은 모두 32 비트 및 64 비트 변형입니다. 사용자는 대개 여러 개의 로컬 계정으로 로그인하므로 항상 활성 세션 중 하나가 여러 시스템에서 열릴 수 있습니다. 훔친 자격 증명은 Petya가 기본 수준의 액세스를 얻는 데 도움이됩니다.

Petya는 로컬 네트워크에서 tcp / 139 및 tcp / 445 포트의 유효한 연결을 검색합니다. 그런 다음 다음 단계에서 서브넷을 호출하고 모든 서브넷 사용자에 대해 tcp / 139 및 tcp / 445를 호출합니다. 응답을 받으면 맬웨어는 파일 전송 기능과 이전에 도용 한 자격 증명을 사용하여 원격 컴퓨터에서 이진 파일을 복사합니다.

psexex.exe는 Ransomware가 포함 된 리소스. 다음 단계에서는 로컬 네트워크에서 admin $ 공유를 검색 한 다음 네트워크를 통해 복제합니다. 자격 증명 덤프와 별개로 맬웨어는 자격 증명 저장소에서 다른 모든 사용자 자격 증명을 얻기 위해 CredEnumerateW 함수를 사용하여 자격 증명을 도용하려고 시도합니다.

암호화

맬웨어는 맬웨어 프로세스 권한 수준이며, 해시 값을 검사하고이를 동작 제외로 사용하는 XOR 기반 해시 알고리즘을 사용하여 수행됩니다. 다음 단계에서 Ransomware는 마스터 부트 레코드에 기록한 다음 시스템을 재부팅하십시오. 또한 예약 된 작업 기능을 사용하여 10 분 후에 컴퓨터를 종료합니다. 이제 Petya는 아래 표시된 것처럼 실제 Ransom 메시지 다음에 가짜 오류 메시지를 표시합니다.

그러면 Ransomware는 C: Windows를 제외한 모든 드라이브에서 다른 확장명의 모든 파일을 암호화하려고 시도합니다. 생성 된 AES 키는 고정 드라이브 당이며,이 키는 익스포트되어 공격자의 내장 된 2048 비트 RSA 공개 키를 사용한다고 Microsoft는 말합니다.