Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya.
Анализ образца вымогателя, проведенный экспертами Positive Technologies, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным.
Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.
В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 для получения ключа разблокировки файлов.
Petya использует 135-139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.
Для того, чтобы не стать жертвой подобной атаки, необходимо принять следующие меры:
Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:
При возникновении вопросов обращайтесь к специалистам компании «Технологии успеха» по телефону (8212) 216-323 или по электронной почте info@tu-rk.ru
О компании
Компания «Технологии успеха» специализируется на создании и сопровождении систем защиты информации, электронной отчетности и документооборота, инфраструктурных программных и аппаратных решений, организации семинаров и тренингов.
© ООО «Технологии успеха», 2016-2024
Адрес в Сыктывкаре
ООО «Технологии успеха»
167031, Республика Коми, г. Сыктывкар, ул. Первомайская, д. 9
Адрес в Санкт-Петербурге
ООО «Технологии успеха»
196084, г. Санкт-Петербург, Коломяжский пр., д. 18, лит. А, офис № 5-120
Документы
Политика обработки перс. данных
Результаты спецоценки условий труда
Сведения об образовательной организации
Оператором получено согласие субъектов персональных данных на размещение персональных данных на сайте