03.07.2017

Дайджест событий мобильной безопасности (выпуск 20)

Как и в случае с WannaCry, никто не публикует новости об очередном вредоносе на Android, пока по миру гуляет Petya. Или не Petya.

Речь об очень сильно модифицированной версии шифровальщика Petya, особенностью которого было то, что он совершал попытку инфицировать MBR (главную загрузочную запись). Если не получалось, в дело вступал шифровальщик Mischa, шифруя, как обычно, файл за файлом, однако если получалось — шифровался сам жесткий диск.

А на этой неделе прогремела новая волна заражений предположительно новой версией Petya. Однако исследователи в итоге сошлись на том, что это не новая версия, а очень сильно модифицированный вариант и начали обзывать его, как кому вздумается, самый известный вариант — NotPetya.

Больше всего пострадали Украина и Россия: в Украине были заражены банки, госструктуры, супермаркеты, мобильные операторы и множество других сфер деятельности.

Действует NotPetya аналогично первоначальному Петру: попытки инфицировать MBR и вовлечение Миши вирусу характерны, так же, как и Petya. Интересна поверхность атаки: вирус использует уязвимость SMB (EternalBlue, как WannaCry) для попадания в сеть и затем использует PsExec и/или Windows Management Instrumentation для распространения внутри сети. Такая опасная комбинация приводит к очень быстрому распространению зловреда в сети. Достаточно иметь всего один уязвимый, непропатченный компьютер и это поставит под удар всю сеть предприятия — вирус попадает в сеть, получает права администратора и распространяется на другие устройства. Также NotPetya распространялся по почте в виде письма со ссылкой на Dropbox. Внушительное количество способов заражения, не так ли?

Через десятки тысяч мешков под глазами у сотрудников SOC выяснилось, что дешифровать файлы не удастся: специалисты ЛК обнаружили, что код вируса генерирует не осмысленный ID, благодаря которому заплатившая жертва сможет получить ключ дешифрования данных, а случайную последовательность. Таким образом NotPetya является не шифровальщиком-вымогаетелем, а вайпером — вредоносом для уничтожения данных (или кибероружием, как его называют любители повысить остроту обсуждений).

Была найдена вакцина: необходимо было создать в C:\Windows файл «perfc» без расширения, судя по коду, шифровальщик, обнаружив файл, должен был остановить свою деятельность.

Сейчас, трудами ИБ-исследователей, проблема более-менее улеглась, но хотелось бы, чтобы в следующий раз, когда Shadow Brokers будут продавать утечки данных американских спецслужб, кто-нибудь все же их купил.

Kaspersky Blog.

Рекомендуемые статьи