Trojan.Ransom.Petya (Petya 2.0 2016 Ransomware, flashing lights warning)
Tartalomjegyzék:
A Petya Ransomware / Wiper pusztítást okoz Európában, és először látta a fertőzést Ukrajnában, amikor több mint 12.500 gépet veszélyeztetett. A legrosszabb az volt, hogy a fertőzések Belgiumban, Brazíliában, Indiában és az Egyesült Államokban is elterjedtek. A Petya féreg képességekkel rendelkezik, amelyek lehetővé teszik, hogy oldalirányban terjedjenek a hálózaton. A Microsoft kiadott egy iránymutatást arról, hogy miként kezeli a Petya,
Petya Ransomware / Wiper
A kezdeti fertőzés terjedését követően a Microsoftnak bizonyítéka van, hogy a felszabadító programok aktív fertőzéseit először a törvényes MEDoc frissítési folyamat. Ez nyilvánvalóan olyan szoftver-ellátási láncra adott támadásokat jelentett, amelyek nagyon gyakoriak a támadókkal szemben, mivel rendkívül magas védelmet igényel.
Az alábbi képen látható, hogy az Evit.exe folyamat a MEDoc-tól a következő parancsot hajtotta végre line, Az érdekes hasonló vektort az ukrán Cyber Police is felvetette a kompromisszum indikátorainak nyilvános listáján. Ez azt jelenti, hogy a Petya képes
- a hitelesítő adatok lefoglalása és az aktív szekciók felhasználása
- A rosszindulatú fájlok átvitele a gépeken a fájlmegosztási szolgáltatások használatával
- Az SMB sebezhetőségeinek visszaélése egy be nem töltött gépek esetén
Az oldalirányú mozgásmechanizmus a hitelesítő lopás és a megszemélyesítő használatával történik
Mindez azzal kezdődik, hogy a Petya egy hitelesítő dömpingeszközt dob, és ez mind a 32 bites, mind a 64 bites változatokban jön létre. Mivel a felhasználók általában több helyi fiókkal jelentkeznek be, mindig van esély arra, hogy az aktív szekció egyike több gépen is megnyílik. Az elkobzott hitelesítő adatok segítenek a Petya számára a hozzáférési alapszint elérésében.
A Petya elvégzi a helyi hálózatot a tcp / 139 és tcp / 445 portokon érvényes kapcsolatokra. Ezután a következő lépésben az alhálózatot és minden alhálózati felhasználó számára a tcp / 139 és a tcp / 445-t hívja. Miután megkapta a választ, a rosszindulatú szoftver átmásolja a távoli gépen lévő binárt a fájlátvitel funkcióval és a korábban ellopott hitelesítő adatokkal.
A psexex.exe-t a Ransomware dobja egy beágyazott erőforrásból. A következő lépésben a helyi hálózatot átvizsgálja az admin $ megosztókra, majd átmásolja magát a hálózaton keresztül. A hitelesítő adatokon kívül a rosszindulatú programok a CredEnumerateW függvény használatával megpróbálják ellopni hitelesítő adatait, hogy az összes többi felhasználói hitelesítő adatot megkaphassa a hitelesítő tárolóból.
Titkosítás
A rosszindulatú szoftverek a rendszer titkosítását a malware folyamat jogosultság szintjét, ezt egy olyan XOR alapú hasítási algoritmussal végezzük, amely ellenzi a hash értékeket, és viselkedési kizárásként használja.
A következő lépésben a Ransomware a master boot rekordra ír, majd beállítja a rendszer újraindításához. Ezenkívül a tervezett feladatok funkcionalitását a gép leállításához 10 perc elteltével használja. Most a Petya egy hamis hibaüzenetet jelenít meg, amelyet egy tényleges Ransom üzenet jelenít meg, az alábbiak szerint.
A Ransomware ezután megpróbálja titkosítani az összes fájlt különböző kiterjesztésekkel az összes meghajtóban a C: Windows kivételével. A generált AES kulcs rögzített meghajtónként működik, és ezt exportálja, és a beágyazott 2048 bites RSA nyilvános kulcsot használja a támadónak, mondja a Microsoft.
A MeasurementLab.net eszközcsomagja tartalmaz egy hálózati diagnosztikai eszközt, egy hálózati útvonal diagnosztikai eszközt és egy eszközt annak mérésére, hogy a felhasználó a szélessávú szolgáltatók lassítják a BitTorrent peer-to-peer (P-to-P) forgalmat. Hamarosan az M-Lab alkalmazásokhoz egy eszköz annak meghatározására, hogy a szélessávú szolgáltatók bizonyos forgalmat adnak-e alacsonyabb prioritást a többi forgalomhoz képest, és egy eszközt annak meghatározására, hogy a szolgáltató bizonyos
"Az átláthatóság a mi cél "- mondta Vint Cerf, a Google fő internetes evangélista és a TCP / IP társfejlesztője. "A szándékunk az, hogy több információt nyújtson mindazoknak, akik érdeklődnek a hálózatok minden rétegben való működésétől."
Ez volt egy hét, amikor a versenyszabályozók táncoltak az informatikai iparágakkal: az Egyesült Államok Szövetségi Kereskedelmi Bizottsága antitröszt elleni pert indított az Intel ellen, míg az Európai Bizottság jóváhagyta a Microsoft által javasolt böngésző "szavazólapját" az Oracle-Sun Microsystems ajánlatot tolta előre. Eközben egy francia bíróság lecsapta a Google-t, amit egy szerzői jogi megragadást észlelt egy könyv-szkennelési ügyben. Az EU jóváhagyja a Microsoft szavazati képer
2. Az Intel és az Intel FTC elleni pert megelőző pert megelőző eljárásai az Intel és az Intel FTC elleni pert mutatják. Az FTC az Intel ellen indított antitröszt elleni vádakat olyan perben, amelyet néhány megfigyelő szerint az új Advanced Micro Devices és az Nvidia versenytársai lendületet adhatnak. > [További olvasmány: A legjobb TV streaming szolgáltatások]
A Ransomware veszélybe sodorja a teljes internetet, és a legrosszabb az, hogy sok felhasználó még mindig nem tartja szükségesnek, hogy megvédje magát. Például, annak ellenére, hogy munkám során online voltam, egész nap magam meglepődtem, hogy az egész számítógépemet a Ransomware megragadhatja a víruskereső szoftver ellenére. A tavalyi évben a Ransomware-i iparág egy hatalmas, 1 milliárd dollárra volt kötve, és az összeg csak növekszik.
Ha még mindig nem vesz tudomást róla, mi a Ransomware, magyarázzuk el neked. A Ransomware olyan rosszindulatú program, amely átveszi a rendszer irányítását, titkosítja a fájlokat, majd felszólítást kér a titkosítási kulcs megadása érdekében. A tökéletes analógia ez a tipikus példa arra, hogy a terroristák miként tárgyalnak a kormányzattal, miután a civileket túszként vették. A helyzet annyira rossz, hogy a Sötét Weben a Ransomware szolgáltatást nyújtják, azaz bárki bérelhet Ransomware-t, és pénz