Az SMB sérülékenységet kihasználó PetrWrap Ransomware kampány

2017.06.27-én indult el a PetrWrap kampány, amely komoly károkat okozott Oroszországban, Ukrajnában és Európa több országában is.

A PetrWrap ransomware egy Petya [1] alapú zsaroló vírus. A C-ben írt és MS Visual Studioban fordított program több egy újabb variánsnál. Mivel a Petya-t használja a fájlok titkosítására, ami egy jól ismert ransomware, ezért a PetrWrap saját kriptográfiai rutint használ ennek elrejtésére. Ezt a folyamatot a készítők az OpenSSL-ből emelték át. Így a PetrWrap eléri, hogy az áldozat gépét lezárja és titkosítja az NTFS partíciókat. Mindezt anélkül, hogy megjelenne a képernyőn a villogó koponya animáció, amiről a Petya ismert.

A PetrWrap a WannaCry-hoz [2] hasonlóan az SMBv1 sérülékenységet (EternalBlue) használja ki, emellett e-mail-ben, kéretlen adathalász levelekben is terjed, ahol álláshirdetésre való jelentkezésnek álcázza magát. Az elemzések szerint a csatolmányként érkező dokumentum tartalmazza azt parancsot, amely letölti a zsarolóvírust a számítógépre. A számítógép újraindítása után nem engedi bootolni a Windows-t, a saját bootloader-ét tölti be helyette, amely mutatja a titkosított fájlrendszer dekódolásához szükséges instrukciókat. A dekódoláshoz $300 értéknek megfelelő bitcoin fizetőeszközt várnak váltságdíjként.

 

Ha megfertőzött egy számítógépet, az alábbi módokon terjeszti tovább magát:

  • MS17-10 sérülékenységet kihasználva (ami a WannaCry is használt) [3];
  • WMI (Windows Management Instrumentation) használatával [4];
  • PSEXEC vagy ehhez hasonló eszköz segítségével [5].

 

A következőket teszi a fertőzött számítógépen:

  • törli a rendszer eseménynaplóját, hogy nehezebb legyen detektálni;
  • felülírja és titkosítja a Master Boot Record (MBR) bejegyzést, majd újraindítja a számítógépet egy órán belül (feladatütemezőben hozza létre a feladatot);
  • titkosítja a FAT táblát, vagy ha ehhez nincs hozzáférése, újraindítás nélkül is képes titkosítani következő kiterjesztésű fájlokat: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip.

 

Az GovCERT a fertőzés elkerülése érdekében az alábbi javaslatokkal él a felhasználók irányába:

  • telepítsék a Windows SMB sérülékenységét befoltozó javítást [3];
  • ne látogassanak nem megbízható weboldalakat és ne kövessenek ilyen hivatkozásokat (linkeket) se;
  • az ismeretlen feladótól kapott e-mail csatolmányaként érkező dokumentumokkal szemben legyenek elővigyázatosak;
  • készítsenek biztonsági mentést a számítógépen tárolt fontos adatokról;
  • kapcsolják le az SMB1-et [6];
  • a fertőzés megelőzése érdekében az alábbi címek elérését érdemes letiltani a tűzfalon: french-cooking.com, benkow.cc, 185.165.29.78, upd.me-doc.com.ua, 95.141.115.108, 111.90.139.247, 84.200.16.242, 185.165.29.78, yadi.sk;
  • készítsenek egy kiterjesztés nélküli "perfc" nevű, továbbá "perfc.dat" és "perfc.dll" nevű fájlokat a Windows telepítési mappájába (C:\Windows\) és blokkolják az állományok írási/végrehajtási jogát, ezáltal a ransomware semmilyen kárt sem fog okozni [11]; a GitHub-ról letölthető egy egyszerű program, ami elkészíti az állományokat [12].
  • amennyiben nincs használatban, a "net stop winmgmt" paranccsal tiltsa le a WMIC (Windows Management Instrumentation Command-line) szolgáltatást

Amennyiben bekövetkezett a fertőzés, az NKI nem javasolja a váltságdíj megfizetését. Többen fizettek már, de nem kapták vissza az adataikat [7], továbbá a támadók által használt postafiókot letiltotta a szolgáltató [8], így onnan válasz nem várható fizetés esetén sem. Ezért ilyen esetben a rendszer újratelepítése szükséges és az adatok visszaállítása a biztonsági mentésből.

IoC-k:

 
SHA256 hash-ek:

  • f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE)
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL)
  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL)
  • 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE)
  • eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998 (32-bit EXE)

Fájlok:

  • c:\windows\dllhost.dat
  • c:\windows\<malware_dll> (no extension)
  • %TEMP%\<random name>.tmp (EXE drop)

Egyéb indikátorok:

  • PIPE name: \\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}
  • ütemezett taszk futtatás: “shutdown -r -f”

Hivatkozások:
[1] http://tech.cert-hungary.hu/vulnerabilities/CH-13138
[2]http://tech.cert-hungary.hu/tech-blog/170513/az-smb-serulekenyseget-kihasznalo-wannacry-ransomware-kampany
[3] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[4] https://msdn.microsoft.com/en-us/library/aa394582(v=vs.85).aspx
[5] https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
[6]https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
[7]https://motherboard.vice.com/en_us/article/new8xw/hacker-behind-massive-ransomware-outbreak-cant-get-emails-from-victims-who-paid
[8]https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday
[9]https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know
[10]https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99
[11]https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
[12]https://github.com/petermbenjamin/petya-killswitch

 
Utolsó frissítés: 2017.06.29. 10:15