不支持–在大规模攻击中使用的Petya变体是由勒索瓶伪装的刮水器

根据研究人员,在大规模攻击中使用的Petya变体(Notpetya)是由卷轴伪装的擦拭器。

在这几个小时内,基于的大规模全球攻击 Petya. Variant制造了头条新闻,许多国家的计算机被感染,包括俄罗斯,乌克兰,法国,印度和美国。

在勒索软件上进行的新分析显示威胁旨在看起来像勒布制品,但是为破坏目的而设计的刮水器恶意软件。

Comae Technologies的创始人Matt Suiche研究人员解释说,他的团队在攻击中使用的Petya样品进行的分析显示其刮水器能力。

“我们注意到,目前在乌克兰大规模感染多个实体的实施情况 事实上是 一个刮水器,刚刚删除了磁盘的24个第一扇区块,同时复制自身。有些人指出,这主要是因为只有大多数人都有相关的第一个部门而被懈怠的空间 机器 - 除了几个例外。”调整康迪科技术发布的分析。

“我们相信赎金书 事实上是 一种控制媒体叙事的诱惑,尤其是之后 想哭 引起注意的事件 一些神秘的黑客小组而不是一个像我们过去所见的国家攻击者,因为涉及刮水器如 鲑...”

攻击者可能已经使用了导流策略隐藏一个国家赞助的攻击 乌克兰关键基础设施.

卡巴斯基的专家进行了 类似的研究 导致了类似的结论。

与其他勒索软件不同, Petya. 不加密受感染系统上的文件,但是针对硬盘驱动器的主文件表(MFT)并呈现不可操作的主引导记录(MBR)。

Petya.通过加密主文件表(MFT)来锁定对用户数据的访问,并用自己的恶意代码替换计算机的MBR,以其显示赎金票据。

Petya.覆盖了硬盘的MBR,导致窗户崩溃。当受害者尝试重新启动PC时,即使在安全模式下也无法加载操作系统。

“如果您看到此文本,那么您的文件不再可访问,因为它们是加密的。也许你正忙着寻找一种恢复文件的方法,但不要浪费你的时间。没有我们的解密服务,没有人可以恢复你的文件。“

超过40名受害者已经支付了赎金来恢复文件,但不幸的是,他们不会。

来自卡巴斯基实验室的专家分析了加密例程,发现要解密文件,威胁演员需要安装ID,不幸的是,他没有它没有它。

黑客与受害者沟通的电子邮件帐户并发送解密密钥被爆发后的德国邮件提供商Posteo阻止了。

“According to an 在主板中看到的更新,德国电子邮件提供商Posteo已关闭受害者应该用来联系Blackmailers并发送比特币的电子邮件地址,并从中收到解密密钥。通过电子邮件地址被封锁,受害者将无法支付犯罪分子或获取他们的文件。在卡巴斯基实验室,无论如何,我们都没有提倡支付赎金,但在这种情况下,它肯定毫无意义。” states a 博客帖子 卡巴斯基出版。

“卡巴斯基实验室研究人员分析了加密例程的高级代码,并确定了磁盘加密后,威胁演员无法解密受害者的磁盘。要解密,威胁参与者需要安装ID。在先前版本的看似类似的赎金软件(如Petya / Mischa / Goldeneye)中,该安装ID包含关键恢复所需的信息。

Expet(AKA NotPetya)没有安装ID(Expetransom Note中所示的“安装键”只是一个随机的Gibberish),这意味着威胁演员无法提取解密所需的必要信息。简而言之,受害者无法恢复数据。”

概述了在大规模攻击中分析的Petya的新变种是为了破坏,这是一个破坏性的恶意软件。

根据思科塔罗斯智力和微软的专家,感染始于乌克兰,名叫MEDOC的当地公司被攻击者为目标。研究人员认为,黑客感染了乌克兰税务会计系统的软件更新,称为MEDOC,但Medoc否认了指控。

“在更新程序时,系统无法直接从更新文件感染病毒,”翻译版本的Medoc 邮政 reads. “我们可以争辩说,Medoc系统的用户在更新程序时无法用病毒感染他们的PC。”

但是,几位安全研究人员甚至微软同意塔罗’s finding, saying Medoc被突破,病毒通过更新传播。

“初始感染似乎涉及涉及乌克兰公司M.E.DoC的软件供应链威胁,该威胁开发税务会计软件, 梅托克。虽然这一向量由新闻媒体和安全研究人员的长度推测,但包括乌克兰自己的网络警察 - 只有这个向量的界面证据。微软现在有证据表明瑞兰沃特的一些积极感染最初从合法开始 Medoc更新程序 process. ” 状态 Microsoft.

据微软称,新的Petya变体实现了多个横向运动技术,以促进整个网络曾经感染第一机器。

RansomWare扩展功能由负责的多种方法组成:

  • 窃取凭据或重新使用现有的活动会话
  • 使用文件共享在同一网络上的计算机上传输恶意文件
  • 使用现有的合法功能来执行未分割机器的有效载荷或滥用SMB漏洞

微软发布了A. 详细分析 这也包括IOC。

皮奈里格帕加尼尼

[Adrotate Group =”7″]

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请