Începând de Marți, 26 iunie 2017, utilizatori și companii din întreaga lume, dar mai cu seamă Ucraina, au fost afectați de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea și ca Petrwrap și care pare să reprezinte o formă modificată a unei variante cunoscute încă din anul 2016.
Vectorul de infecție:
Infecția inițială a sistemelor se realizează prin intermediul unor documente atașate unor mesaje email de tip phishing, pe care utilizatorii sunt îndemnați să le deschidă. De asemenea, conform unor informații publicate pe rețelele de socializare de autoritățile din Ucraina, virusul s-a răspândit și prin intermediul mecanismului de actualizare al aplicației MeDoc (populară în Ucraina), această variantă fiind confirmată și într-o postare de pe blogul companiei de securitate Kaspersky.
Ca și în cazul WannaCry, odată infectată o stație de lucru dintr-o rețea, virusul utilizează multiple tehnici de răspândire laterală, inclusiv:
- Exploatarea unor vulnerabilități rezolvate de Microsoft prin buletinul MS17-010 (CVE-2017-0144, CVE-2017-0145), prin uneltele de exploatare cunoscute ca EternalBlue (utilizat și de WannaCry), DoublePulsar și EternalRomance;
- Capturarea unor credențiale administrative din memoria sistemului infectat și utilizarea acestora pentru răspândirea în rețea prin WMIC (Windows Management Instrumentation Command-line) și Psexec.
Conform informațiilor deținute până în prezent de CERT-RO, virusul se răspândește doar în rețeaua internă unde a avut loc infecția inițială a unei stații de lucru, utilizând următoarele tehnici de identificare a altor sisteme țintă:
- Identificarea plăcilor de rețea de pe sistemul infectat;
- Citirea denumirilor altor sisteme din NetBIOS;
- Citirea informațiilor aferente DHCP (lease time)
Toate sistemele identificate de virus în rețelele adiacente sunt scanate pe porturile TCP/445 și TCP/139 (utilizate de protocolul SMB), iar dacă porturile sunt deschise încercă exploatarea vulnerabilităților descrise anterior.
Impact:
Odată infectată o stație de lucru, virusul încearcă răspândirea laterală în rețea și, după o perioadă de așteptare de 10-60 de minute, repornește sistemul, criptează tabela MFT (NTFS Master File Table) și înlocuiește codul din zona MBR a discului de stocare cu o formă proprietară ce afișează mesajul de răscumpărare (ransom note).
Acest comportament aduce o caracteristică nouă față de alte versiuni de ransomware, în sensul că, adițional criptării fișierelor, se blochează inclusiv accesul la sistemul infectat.
Virusul criptează următoarele tipuri de fișiere (după extensie):
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat și la fișiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin, evoluția plaților putând fi urmărită la adresa aceasta.
