Специалисты фирмы "Доктор Веб" учат новейший троянец-шифровальщик , упоминаемый в СМИ точно Petya, Petya.A, ExPetya так точно WannaCry-2. На основании подготовительного анализа вредной программы корпорация "Доктор Веб" воображает рекомендации, точно избежать заражения, рассказывает, точно делать, в случае в случае в случае в случае если инфецирование уже произошло, так точно открывает технические детали атаки.
Наделавший немало шума червь-шифровальщик воображает нешуточную угроза для индивидуальных компьютеров, работающих под управлением Microsoft Windows. всевозможные источники именуют его трансформацией троянца, популярного под именованием Petya (Trojan.Ransom.369), впрочем имеет с ним токмо кое-какое сходство. данная вредная программа пробралась в информационные системы цельного ряда госструктур, банков так точно коммерческих организаций, а уж уж уж уж еще заразила ПК юзеров в нескольких странах.
На нынешний минута известно, точно троянец заражает компы при поддержке такого же комплекта уязвимостей, коие раньше применялось злодеями для внедрения на компы жертв троянца WannaCry. общее распространение началось в первой половине денька 27.06.2017. При запуске на атакуемом персональном персональном компьютере троянец несколькими методами отыскивает доступные в локальной паутины ПК, впоследствии чего по перечню приобретенных айпишников начинает сканировать порты 445 так точно 139. заприметив в паутины машины, на коих раскрыты эти порты, старается инфицировать них с применением (MS17-10).
В своем теле троянец содержит 4 сжатых ресурса, 2 из коих появляются 32- так точно 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает надлежащую версию утилиты, предохраняет ее во временную папку, впоследствии чего запускает. При поддержке утилиты Mimikatz, а уж уж уж уж еще 2-мя альтернативными методами приобретает перечень внутрисетевых так точно доменных пользователей, авторизованных на зараженном компьютере. позднее он отыскивает доступные на запись сетевые папки, старается раскрыть них с применением приобретенных учетных заданных так точно сберечь потом свою копию. дабы инфицировать компьютеры, к коим ему же получилось обрести доступ, употребляет утилиту для управления удаленным компом PsExec (она еще хранится в ресурсах троянца) либо нормальную консольную утилиту для вызова объектов Wmic.exe.
Контроль собственного повторного пуска энкодер производит с поддержкой файла, сохраняемого им же в папке C:Windows. заправдашний файл имеет имя, соответственное имени троянца без расширения. так как едва-лишь распространяемый злодеями в заправдашний минута эталон глиста имеет имя perfc.dat, то файл, предотвращающий его вторичный запуск, полноте обладать имя C:Windowsperfc. Однако стоит злодеям скорректировать начальное имя троянца, так точно тварь в папке C:Windows файла с именованием perfc без расширения (как рекомендуют кое-какие антивирусные компании), уже закончить спасет комп от заражения. перестать считая того, троянец производит испытание наличия файла, едва-лишь в случае в случае в случае в случае если у него довольно для этого привилегий в операционной системе.
После старта троянец настраивает для себя привилегии, загружает личную копию в память так точно передает ей же управление. позднее энкодер перезаписывает личный файл на диске мусорными заданными так точно удаляет его. В первую черед омрачает VBR (Volume Boot Record, загрузочная запись раздела) диска C:, центральный область диска наполняется мусорными данными. позднее шифровальщик копирует необычную загрузочную запись Windows в альтернативный участок диска, за раньше зашифровав ее с применением метода XOR, а уж уж уж уж заместо нее записывает свою. дальше он формирует поручение на перезагрузку компьютера, так точно начинает шифровать конец обнаруженные на внутрисетевых физиологических дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Троянец шифрует файлы едва-лишь на фиксированных дисках компьютера, заданные на каждом диске шифруются в отдельном потоке. Шифрование исполняется с применением алгоритмов AES-128-CBC, для всякого диска образовывается личный измерить (это — отличительная странность троянца, закончить отмеченная альтернативными исследователями). заправдашний измерить шифруется с применением метода RSA-2048 (другие эксперты сообщали, точно применяют 800-битный ключ) так точно сберегается в корневую папку зашифрованного диска в файл с именованием README.TXT. Зашифрованные файлы закончить приобретают доборного расширения.
После исполнения сотворенного раньше поручения комп перезагружается, так точно управление передается троянской загрузочной записи. Она показывает на экране зараженного персонального персонального персонального компьютера текст, напоминающий уведомление типовой утилиты для испытания дисков CHDISK.
В это час шифрует MFT (Master File Table). окончив шифрование, показывает на экране заявка злоумышленников об уплате выкупа.
Если в минута пуска на экране возникло уведомление о запуске утилиты CHDISK, сейчас отключите стол ПК. Загрузочная запись в конкретно в этом случае полноте повреждена, впрочем ее можно поправить при поддержке утилиты восстановления Windows либо Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обыкновенно может быть в ОС Windows версии 7 так точно больше поздних, в случае в случае в случае в случае если на диске имеется применяемый системой тайный ответвление с резервной копией критических для работы Windows данных. В Windows XP этакий метод восстановления загрузки закончить сработает. еще для этого можно употреблRтьDr.Web LiveDisk — сотворите загрузочный диск либо флешку, исполните загрузку с этого съемного устройства, запустите сканер Dr.Web, исполните испытание пострадавшего диска, изберите функцию «Обезвредить» для обнаруженных угроз.
По сообщениям из самых разных источников единый применяемый распространителями сундук электронной почты в сегодня час заблокирован, потому они в принципе закончить имеют абсолютно все шансы снестись со своими жертвами (чтобы, например, предложить расшифровку файлов).
С целью профилактики инфецирования троянцем корпорация «Доктор Веб» советует вовремя образовывать резервные клоны любых критических заданных на независящих носителях, а уж уж уж уж еще употреблRтьфункцию «Защита от утраты данных» Dr.Web Security Space. перестать считая того, нужно ставить конец обновления безопасности операционной системы. эксперты фирмы «Доктор Веб» продолжают изучение шифровальщика .
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости