27 июня на Украине была зафиксирована масштабная кибератака с использованием новой модификация локера- шифровальщика Petya, который частично зацепил компании в России, США, Индии, Австралии и др. Предварительное расследование показало, что за кибератакой стоит прогосударственная группа Black Energy, ранее атаковавшая энергетические и финансовые организации на Украине.

Первоначальное проникновение происходит через обновления программного обеспечения MeDoc — программы бухгалтерского и налогового учета, весьма популярной на Украине. Затем троян пытался восстановить пароль администратора на компьютере, куда он впервые попал, и подключался с этим паролем ко всем компьютерам в сети, для чего использовал легитимный инструмент PsExec, Wmi и эксплойты из набора АНБ.

За расшифровку вымогатели требуют выкуп в размере 300$ в биткоинах на интернет-кошелек, а неделю спустя потребовали 100 биткоинов ($250 000) за закрытый ключ, необходимый для расшифровки всех зашифрованных файлов.

В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании. В итоге более 80 компаний по всему миру были заражены:

• В России: Роснефть, Башнефть, Хоум Кредит Банк, Евраз и др.
• На Украине: Запорожьеоблэнерго, Днепроэнерго, Днепровская электроэнергетическая система, Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA, Киевский метрополитен, компьютеры Кабинета министров и правительства Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк, аэропорт Борисполь.
• В мире: Американский биофармацевтический гигант Merck, Maersk и другие.
  

Любые вложения – doc, docx, xls, xlsx, rtf , и другие офисные вложения могут содержать вредоносный контент.

При открытии вложения с малварью «Petya», произойдет установка вредоноса, используя известную уязвимость CVE-2017-0199.

После этого запустятся 2 основных потока:

• В первом потоке вирус пытается инфицировать другие компьютеры в сети, используя хорошо знакомую уязвимость (CVE-2017-0144), эксплойт для эксплуатации которой — EternalBlue из арсенала АНБ США 14 апреля выложили в открытый доступ хакеры из Shadow Brokers.
• Как вы помните, WannaCry, атаковавший в мае этого года 300 000 компьютеров в 150 странах мира, использовал ту же самую уязвимость.
• Во втором потоке вирус делает дамп LSA для получения паролей доменных и локальных Администраторских учетных записей. (Аналог mimicatz x86, x64), и после этого заражает другие компьютеры в сети с помощью PsExec или команды WMI.

Другими словами, в отличие от WannaCry, в данном случае нет необходимости, чтобы все компьютеры имели уязвимый SMB v1. (EternalBlue). Нужен хотя-бы один инфицированный компьютер, содержащий пароль администратора в LSA (доменный, или локальный, который будет таким же на других компьютерах), чтобы заразить всю сеть.

Вирус выполняет следующие команды для очистки системного журнала ОС и журнала NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)

Вирус использует файл "c:\windows\perfc.dat" как факт того, что компьютер уже инфицирован.(kill switch).

Вирус ждет 30-40 минут после инфицирования (возможно для распространения), а после этого "Petya" шифрует локальные файлы, пытается подменить MBR и MFT и уйти в перезагрузку.

После окончания работы шифровальщика, после включения вы увидите на экране следующее:

KillSwitch: Перед началом работы вирус проверяет наличие файла со своим же именем, но без расширения.

Например: если тело вируса изначала имело имя perfc.dat (internal PE name) то при наличии файла «%WINDOWS%/perfc» программа завершит свою работу.

Однако специалисты Group-IB не могут утверждать, что данный вирус будет всегда запущен именно с таким именем, так как это зависит от эксплойта, который создаст данный файл в системе.

Дополнительная информация:
Вирус был скомпилирован 18 июня

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Мы не рекомендуем платить вымогателям, поскольку:

a. вы спонсируете преступников

b. нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.