Что известно про Petya

Или, что нужно знать про Petya, который и не Petya на самом деле, а только был им раньше.

Вирус нацелен на «обрушение» локальных сетей: быстрое распространение и вывод компьютеров из строя. О возможности восстановления данных он не заботится.

Автор статьи: Евгений Кравченко.

Действия

Уничтожает данные на всех жестких дисках. Для этого вирусу требуется перезагрузка.

Создает отложенное задание перезагрузки. Жертвы в показаниях расходятся: от 30 минут до 1,5 часов.

Есть предположения, что что-то делается с таблицей размещения файлов MFT, но скорее всего разрушение MFT это последствия действий с непосредственно с жесткими дисками.

Первый сектор диска шифруется и записывается во второй сектор. В первый сектор записывается загрузчик, отображающий эмуляцию запуска checkdisk, а потом «красный экран».

В это же время уничтожается информация примерно 30-ти первых секторов на всех дисках (она шифруется, но после операции ключи шифрования уничтожаются).

 

Шифрование

Шифрованием занимается Misha, который пребывает из Интернета после Petya. Поэтому, запускается не всегда. Для каких целей это происходит не ясно до сих пор.

Шифрует файлы не меняя их расширений и времени модификации (это интересно, раньше шифраторы так не делали). Привилегии не поднимаются, шифруются данные только пользователя текущей сессии и только локальные. Сетевые ресурсы не трогает.

 

Распространение. Тут интересно.

По Электронной почте, используя уязвимость MS Office CVE-2017-0199. Это понятный путь.

По локальной сети, через шары доступные на запись, используя уязвимость MS17-010. Это то же не новый путь, после WannaCry.

По локальной сети, извлекая из памяти учетные данные активной сессии. Нет точных данных, может ли он извлечь учетные данный всех активных сессий на данный момент (например на терминальном сервере) но учетные данные текущего пользователя – может, и билеты Kerberos может. И, если ему удалось заполучить данные учетки, которая имеет права администратора на удаленных машинах (не приведи Бог права администратора домена) то дальше Petya распространяется мгновенно через штатные механизмы управления сетью Windows:

SMB, WMI, PsExec. Такого раньше не было. (Вот инструмент, который используется для извлечения учетных данных https://github.com/gentilkiwi/mimikatz если кому интересно)

 

Стоп-фича

В коде вируса зашита остановка, если обнаружен файл %WINDIR%\perfc

В разных источниках рекомендуют добавить еще пару файлов: %WINDIR%\perfc.dat и %WINDIR%\perfc.dll

Естественно, что в других вариациях вируса могут вообще отключить эту фишку

 

Что делать

  • Не работать под пользователями с повышенными правами и не оставлять терминальные сессии таких пользователей на серверах. Всегда «отлогиниваться» как на серверах, так и на рабочих станциях (если только нет крайней необходимости вызванной длительными процессами).
    Больше расслабляться с оставленными сессиями на серверах нельзя. За Петей, скорее всего, пойдут другие.
  • Устанавливать заплатки CVE-2017-0199 и MS17-010, да и вообще все доступные обновления безопасности для системы.
  • Вакцинировать компьютеры созданием файлов %WINDIR%\perfc %WINDIR%\perfc.dat и %WINDIR%\perfc.dll, можно делать централизованно, используя механизмы Group Policy Management.

 

Ситуация, в которой непонятно, что делать

Цель вируса – уничтожение инфраструктуры путем уничтожения данных на жестких дисках, а резервные копии сейчас как раз и выполняются на жесткие диски, серверы резервного копирования, в свою очередь, могут быть уязвимы. Как выйти из этого круга неясно. Как минимум нужна защищенная резервная копия сервера резервного копирования, и какое-то количество резервных копий на защищенных носителях: либо лентах, либо съемных дисках.

Можете рассказать в комментариях об опыте взаимодействия с данным вирусом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *