Информация о кибер-атаке шифровальщика Petya

Информация относится к:

Продукты: Panda Adaptive Defense, Panda Adaptive Defense 360, Panda Antivirus for Mac, Panda Antivirus Pro, Panda Audit Service, Panda Email Protection, Panda Endpoint Protection, Panda Endpoint Protection Plus, Panda Fusion, Panda GateDefender eSeries, Panda Global Protection, Panda Gold Protection, Panda Internet Security, Panda Mobile Security for Android, Panda Partner Center, Panda SUB для сервис-провайдеров, Panda Systems Management, Panda Dome Advanced, Panda Dome Complete, Panda Dome Essential, Panda Dome for Android, Panda Dome for Mac, Panda Dome Free, Panda Dome Premium,

27 июня 2017 года многие страны мира подверглись широкомасштабной атаке, использующей вариант семейства шифровальщиков, известный как GoldenEye/Petya или Petya.

В дополнение к шифрованию файлов на компьютере, данное семейство шифровальщиков характеризуется шифрованием главной загрузочной области (MBR) при наличии соответствующих прав, в результате чего полностью блокируется доступ к компьютеру. Данная версия вредоносной программы распространяется в виде DLL с EXPORT, которая в названии имеет индивидуальный для каждого образца параметр для запуска процесса шифрования на компьютере. При запуске осуществляется шифрование определенных файлов на дисках скомпрометированной системы.

В свою очередь, при наличии администраторских прав также осуществляется шифрование главной загрузочной области, в результате чего блокируется доступ к компьютеру до тех пор, пока не будет введен ключ доступа для дешифрации системы. Предполагается, что данный ключ предоставляется после оплаты выкупа.

Образец создает запланированную задачу для завершения работы компьютера после выполнения всех действий. после перезагрузки компьютера Petya показывает ложное окно, указывающее на то, что осуществляется процесс устранения проблем на диске.

По окончании он показывает окно, требующее выкуп:

Векторы заражения

Существуют различные методы проникновения и распространения в скомпрометированных сетях, которые мы сумели идентифицировать:

• Атака против механизма обновления стороннего украинского программного продукта для управления документооборотом под названием MeDoc.
• ETERNALBLUE: Этот вариант вредоносной программы использует код, который использует уязвимость, опубликованную корпорацией Microsoft 14 марта 2017 года и описанную в бюллетене MS17-010 https://technet.microsoft.com/library/security/ms17-010.
• PSEXEC: Включает в себя удаленное выполнение в системе, используя команду PSEXEC.
  
  v8 = wsprintfW(a2, L"%s \\\\%s -accepteula -s ", v3, a3);
  v9 = wsprintfW(&a2[v8], L"-d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1 ", &v14) + v8;
• WMI: Включает в себя удаленное выполнение в системе, используя команду WMI.
  
  wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1

Советы и рекомендации

Все наши пользователи защищены от этой атаки. Однако, пожалуйста, выполните следующие действия:

• Будьте осторожны с документами, содержащимися в электронных письмах от незнакомых отправителей.
• Регулярно обновляйте Вашу операционную систему с помощью последних доступных обновлений Microsoft.
• В данном случае, т.к. мы обнаружили использование ETERNALBLUE, мы рекомендуем Вам установить на все компьютеры в Вашей сети следующий патч: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
• Установите решение безопасности Panda и регулярно обновляйте его.
• Регулярно создавайте резервные копии Ваших файлов.