Суббота, 6 июня, 07:26
дома безопасность Петя или НотПетя: на следующий день Как ...

Петя или НотПетя: на следующий день Как Ransomware работает и распространяется

Это в процессе новая массовая волна вымогателей что вызвало хаос в аэропортах, банках, предприятиях и многих других правительственных и неправительственных организациях по всей Европе. Причина для Пети (или не Петя), новая форма вымогателей, которая использует EternalBlue для проникновения на компьютеры Windows, аналогично WannaCry.

Основное отличие?

Хочу кричать, это было катастрофически, но это был инструмент, полный ошибок, созданных любителями. По словам экспертов, Петя - не любительский инструмент, а мощный вымогатель, способный заразить любую версию Windows, включая Windows 10.

Петя или не петя

Давайте посмотрим, как оно распространяется и как работает деструктивный Ransomware.

По словам команды безопасности Касперского, вымогателей основан на специализированном инструменте под названием "А ля Миникац" для его распространения. Это извлекает учетные данные, необходимые для распространения, из процесс lsass.exe, Lsass или Local Security Authority Subsystem Service - один из наиболее важных файлов в системе Windows.

«Вредоносные программы используют множество инструментов для распространения в сети, заражая компьютеры по пути. Для извлечения учетных данных администратора сети из памяти компьютера используется измененная сборка инструмента с открытым исходным кодом Minikatz. Затем он использует эти точки доступа для подключения и выполнения команд на других машинах, используя PsExec и WMIC заразить их ".

Считается, что атака началась с восприимчивой информации украинского программного обеспечения MeDoc, который используется многими правительственными организациями страны. По имеющимся данным, это причина, почему Украина пострадала больше, чем все другие страны.

Касперский сообщает, что более 60 процентов атак произошло в Украине, а Россия занимает второе место в списке с процентами 30. И это только начальные выводы продолжающегося исследования компании.


Как работает Петя?

Как только вредоносная программа заражает компьютер, она простаивает около часа, а затем перезапускает систему. После перезагрузки файлы зашифровываются, и жертвы получают выкуп на своем компьютере. Во время процесса перезагрузки жертв предупреждают, чтобы они не закрывали систему, потому что они могут потерять свои файлы.

Сколько выкупов уже выплачено?

Как мы уже упоминали, выкупные платежи осуществляются в биткойны, и все транзакции, совершенные с идентификатором кошелька злоумышленника, отображаются по следующей ссылке:

https://bitref.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

До сих пор были произведены платежи 42, около 4 BTC (~ $ 10.000).

Петя или не петя;

Symantec, а также несколько других компаний и аналитиков по безопасности считают, что новое вымогатель принадлежит семье Petya. По словам исследователей Symantec, вымогатель «Петя» был впервые обнаружен на 2016.

«Петя существует из 2016. Он отличается от стандартного вымогателя тем, что он не только шифрует файлы, но и заменяет и шифрует основную загрузочную запись (MBR) », - сказали в компании.

Однако «Лаборатория Касперского», похоже, не согласна с таким подходом, указывая на то, что это новая форма вымогателей, которая относится к своей собственной классификации и впервые появляется, называя Ransomware «NotPetya».

В любом случае, один единственный: Петя или NotPetya все еще нетронуты, и на этот раз, похоже, убийство Switch не остановит его безумный курс. Осталось только посмотреть, как все это будет развиваться.

[su_box title = ”ОБНОВЛЕНИЕ 28/06/2017 ″ box_color =” # d4dabb ”title_color =” # 103a13 ″ radius = ”0 ″] Чтобы предотвратить возможное заражение, пользователи и администраторы должны убедиться, что их системы имеют Последнее обновление безопасности Microsoft для успешной работы с эксплойтами Windows SMB. Патч с именем «MS17-010» можно найти по следующей ссылке: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Кроме того, SMBv1 должен быть отключен (посмотри как) и заблокировать доступ к портам 137, 138, 139 и 445. [/ su_box]

[su_box title = ”ОБНОВЛЕНИЕ 29/06/2017” box_color = ”# d2c864 ″ title_color =” # 103a13 ″ radius = ”0 ″] Согласно сообщению Microsoft, Defender для Windows обнаруживает новую форму вымогателей как «Ransom: Win32 / Petya», поэтому вы должны убедиться, что вы запустили его Версия 1.247.197.0 чтобы антивирус успешно предотвращал угрозу. [/ su_box]

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Нат БотПак
Нат БотПак
Жизнь слишком коротка, чтобы безопасно удалить USB

LIVE NEWS

Call of Duty Black Ops Cold War: утечка первого видео

Первое видео из игрового процесса Call of Duty 2020, которое, по слухам, называется Black Ops Cold War, только что было опубликовано.

Элон Маск: «Пора расстаться с Амазонкой»

Элон Маск усиливает борьбу с Джеффом Безосом новым твитом: генеральный директор Tesla Inc., Элон Маск, сказал ...

Атака на американские 5G башни в субботу!

По сообщению NATE, в течение выходных запланированы акции протеста против подключения 5G. Согласно рекомендации, которая была определена ...

Обновления Windows 10: Вы можете заблокировать их с помощью Wu10Man!

Microsoft выпустила обновление для Windows 10 в мае 2020 года, поэтому оно скоро будет доступно на вашем компьютере ....

ECh0raix Ransomware: новая кампания, ориентированная на устройства QNAP NAS!

Вредоносные агенты eCh0raix Ransomware запустили новую кампанию, ориентированную на устройства QNAP NAS. Эхраикс наблюдался ...

Mac: Как изменить место хранения ваших скриншотов?

Когда вы делаете снимки экрана на вашем устройстве Mac с помощью ярлыка Shift-Command-3, чтобы сделать снимок экрана всего экрана компьютера или Shift-Command-4 ...

Malware USBCulprit: направляет устройства, которые не подключены к сети

Вы думали, что устройства без какого-либо подключения к локальной или другой сети (устройства с воздушным зазором) безопасны? Подумай еще раз! Вредоносная программа USBCulprit, которая ...

Бесплатные команды Microsoft: вы, наконец, можете создавать встречи!

Пользователи бесплатной версии Microsoft Teams теперь могут создавать видео встречи. Изменение, обозначенное ...

Сертификация систем информационной безопасности и управления информационными услугами

Сертификация систем информационной безопасности и управления ИТ-услугами: ISONIKE Ltd - европейский орган по оценке и сертификации, год основания которого ...

Топ 10 хакерских компаний в Европоле

Хакерские атаки, которые происходят во всем мире, постоянно растут, поэтому многие компании, которые осуществляет Европол, нейтрализуют различные подобные спирали / группы. Ниже...