Un nou virus face ravagii printre utilizatorii de Windows. CERT-Ro arată cum vă puteți feri de el!

Un nou virus face ravagii printre utilizatorii de Windows. CERT-Ro arată cum vă puteți feri de el!

Începând de marți, 26 iunie 2017, companii din mai multe țări, mai cu seamă Ucraina, au fost afectate de o variantă de ransomware cunoscută cu denumirea de Petya/Petwrap care pare să fie o formă modificată a variantei de ransomware Petya cunoscută încă din anul 2016.

Până în acest moment nu a fost stabilită cu exactitate modalitatea de răspândire, însă în urma analizării informațiilor deținute până în acest moment de CERT-RO, atât din surse proprii cât și externe, există mai multe variante posibile:

  • Răspândirea printr-o campanie de mesaje email de tip SPAM ce conțin oferte cu locuri de muncă (email recruiting);
  • Exploatarea unei vulnerabilități a protocolului SMB cunoscută cu denumirea de EternalBlue (utilizată și de WannaCry);
  • Răspândirea în rețea (lateral movement) prin facilitatea WMIC (Windows Management Instrumentation Command-line) și/sau RDP.

Impact:

Această variantă de ransomware afectează sistemele de operare Windows și are atât capabilități de criptare a fișierelor de pe disc, dar și de blocare a accesului la PC prin alterarea MBR (Master Boot Record). Se pare că în mod implicit malware-ul încercă mai întâi să blocheze accesul la sistem prin alterarea MBR, însă dacă nu reușește să obțină privilegii de administrator pentru a efectua această operațiune criptează direct fișierele de pe disc.

Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.

Evoluția plaților efectuate către portofelul electronic indicat în mesaj se poate urmări la adresa:

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Indicatori de compromis:

### IP:

111.90.139.247

84.200.16.242

185.165.29.78

### URL:

coffeinoffice.xyz

http://185.165.29.78/~alex/svchost.exe

https://yadi.sk/d/S0-ZhPY53KWc84

https://yadi.sk/d/Zpkm88sp3KWc8v

h11p://84.200.16.242/myguy.xls

### HASH (MD5):

0487382a4daf8eb9660f1c67e30f8b25

415fe69bf32634ca98fa07633f4118e1

71b6a493388e7d0b40c83ce903bc6b04

### HASH (SHA1):

a809a63bc5e31670ff117d838522dec433f74bee

bec678164cedea578a7aff4589018fa41551c27f

d5bf3f100e7dbcc434d7c58ebf64052329a60fc2

aba7aa41057c8a6b184ba5776c20f7e8fc97c657

0ff07caedad54c9b65e5873ac2d81b3126754aac

51eafbb626103765d3aedfd098b94d0e77de1196

078de2dc59ce59f503c63bd61f1ef8353dc7cf5f

7ca37b86f4acc702f108449c391dd2485b5ca18c

2bc182f04b935c7e358ed9c9e6df09ae6af47168

1b83c00143a1bb2bf16b46c01f36d53fb66f82b5

82920a2ad0138a2a8efc744ae5849c6dde6b435d

Mai multe informații referitoare la indicatorii de compromis se pot obține de la următoarele adrese:

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

https://www.virustotal.com/en/file/17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1fbd/analysis/

https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100

https://twitter.com/PolarToffee/status/879709615675641856

Recomandări:

CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:

  • Utilizarea unui produs antivirus/antimalware modern și actualizat cu ultimele semnături;
  • Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  • Realizarea periodică a unor copii de siguranță (backup) pentru datele importante;
  • Implementarea măsurilor din „Ghidul privind combaterea amenințărilor de tip ransomware” elabort de CERT-RO și disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware

Postaţi un comentariu

Adresa dvs de mail nu va fi afişată.