مرة أخرى ، باختصار عن الوباء الأخير
- إذا كنت مصابًا ، فلا تدفع الفدية - حيث يتم حظر العنوان wowsmith123456@posteo.net من قبل الموفر ، مما يجعل من المستحيل الحصول على مفتاح لفك التشفير. (ما الذي كانت المقالة حوله بالفعل - تقريبًا لكل.)
- يحدث التوزيع على أجهزة الكمبيوتر المزودة بأحدث نظام Windows داخل المجال.
- يؤدي إنشاء ملف في C: \ Windows \ perfc إلى حظر ناقلات الهجوم عبر WMIC.
- إذا ظهرت CHKDSK على الشاشة بعد إعادة تشغيل الكمبيوتر ، يجب عليك إيقاف تشغيل الكمبيوتر على الفور - في هذه اللحظة يتم تشفير الملفات.
وكذلك في حالة هجوم WannaCry الأخير ، يوصى بتثبيت التحديث من Microsoft MS17-010 في أقرب وقت ممكن. إذا تعذر تثبيت التصحيح لسبب ما ، فمن المستحسن إيقاف تشغيل بروتوكول SMBv1 .
انتشار الفيروس
يتم توزيع Petya & Mischa ، على عكس WannaCry ، داخل الشبكة المحلية (افتراضيًا ، بيئة آمنة). في الحالات التي درسناها ، لم يتم دمج آليات التوزيع عبر الإنترنت.
بعد بدء برنامج الفدية ، يقوم الكمبيوتر المصاب بمسح الشبكة الفرعية المحلية (/ 24) لمشاركات شبكة ADMIN $ لنسخ الحمولة إلى كمبيوتر آخر وبدء تشغيله باستخدام PsExec.
كانت الخطوة التالية هي تنفيذ أمر WMIC (استدعاء عملية إنشاء \ "C: \ Windows \ System32 \ rundll32.exe \\" C: \ Windows \ perfc.dat \) على أجهزة الكمبيوتر الموجودة. تم الحصول على هذا الاتصال باستخدام Mimikatz .
أحدث طريقة توزيع كانت استخدام ثغرة EternalBlue.
كيف يعمل الفيروس
قامت Ransomware بفحص محركات الأقراص المحلية فقط. لم تكن الشبكة ومحركات الأقراص الخارجية هدف الهجوم.
تم تشفير الملفات ذات الامتدادات التالية:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
لم تكن هناك تغييرات كبيرة في آلية إعادة كتابة قطاع التمهيد MBR مقارنة بحملة العام الماضي. بعد الإصابة ، يتم مسح سجلات النظام (الإعداد ، النظام ، الأمان ، التطبيق).
يضيف جدول المهام أيضًا أمرًا لإعادة تشغيل الكمبيوتر بعد ساعة من الإصابة . يستخدم Petya أيضًا ميزة غير موثقة لوظيفة WinAPI NtRaiseHardError لإعادة تشغيل الجهاز.
