Специалисты фирме "Доктор Веб" учат новенький троянец-шифровальщик , упоминаемый в СМИ чисто Petya, Petya.A, ExPetya так словно WannaCry-2. На основании подготовительного анализа вредной программы шатия-братия "Доктор Веб" воображает рекомендации, чисто избежать заражения, рассказывает, словно делать, в случае в случае в случае коли инфецирование уже произошло, так словно открывает технические детали атаки.
Наделавший навалом шума червь-шифровальщик воображает ответственную угроза для индивидуальных компьютеров, работающих под управлением Microsoft Windows. всевозможные источники именуют его трансформацией троянца, знаменитого под именованием Petya (Trojan.Ransom.369), однако имеет с ним едва-лишь кое-какое сходство. данная вредная программа пробралась в информационные системы цельного ряда госструктур, банков так словно коммерческих организаций, а уж уж уж уж еще заразила ПК юзеров в нескольких странах.
На нынешний секунда известно, словно троянец заражает компы при поддержки такого же комплекта уязвимостей, коие до этого применялось злодеями для внедрения на компы жертв троянца WannaCry. общее распространение началось в первой половине денька 27.06.2017. При запуске на атакуемом персональном персональном компьютере троянец несколькими методиками отыскивает доступные в локальной паутине ПК, позже чего по перечню приобретенных айпишников начинает сканировать порты 445 так словно 139. заприметив в паутине машины, на коих раскрыты эти порты, старается инфицировать них с применением (MS17-10).
В своем теле троянец содержит 4 сжатых ресурса, 2 из коих появляются 32- так словно 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей раскрытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответственную версию утилиты, предохраняет ее во временную папку, позже чего запускает. При поддержки утилиты Mimikatz, а уж уж уж уж еще 2-мя иными методиками приобретает перечень внутрисетевых так словно доменных пользователей, авторизованных на зараженном компьютере. потом он отыскивает доступные на запись сетевые папки, старается отомкнуть них с применением приобретенных учетных заданных так словно сберечь следом свою копию. для того, для того, чтоб инфицировать компьютеры, к коим ему же получилось приобрести доступ, применяет утилиту для управления удаленным персональным компьютером PsExec (она еще хранится в ресурсах троянца) либо же же нормальную консольную утилиту для вызова объектов Wmic.exe.
Контроль собственного повторного пуска энкодер воплотит в жизнь с поддержкой файла, сохраняемого им же в папке C:Windows. данный файл имеет имя, соответственное имени троянца без расширения. так а уж уж как распространяемый злодеями в неподдельный секунда эталон глиста имеет имя perfc.dat, то файл, предотвращающий его вторичный запуск, хватит обладать имя C:Windowsperfc. Однако стоит злодеям скорректировать начальное имя троянца, так словно сухота в папке C:Windows файла с именованием perfc без расширения (как рекомендуют кое-какие антивирусные компании), уже перестать делать делать спасет комп от заражения. помимо того, троянец воплотит в жизнь испытание наличия файла, едва-лишь в случае в случае в случае коли у него довольно для этого привилегий в операционной системе.
После старта троянец настраивает для себя привилегии, загружает личную копию в память так словно передает ей же управление. потом энкодер перезаписывает личный файл на диске мусорными заданными так словно удаляет его. В первую очередность омрачает VBR (Volume Boot Record, загрузочная запись раздела) диска C:, начальный круг диска наполняется мусорными данными. потом шифровальщик копирует необычную загрузочную запись Windows в иной участок диска, за до этого зашифровав ее с применением метода XOR, а уж уж уж уж заместо нее записывает свою. затем он формирует поручение на перезагрузку компьютера, так словно начинает шифровать баста обнаруженные на внутрисетевых физиологических дисках файлы с расширениями .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Троянец шифрует файлы едва-лишь на фиксированных дисках компьютера, заданные на каждом диске шифруются в отдельном потоке. Шифрование исполняется с применением алгоритмов AES-128-CBC, для всякого диска формируется личный измерить (это — отличительная странность троянца, перестать делать делать отмеченная иными исследователями). данный измерить шифруется с применением метода RSA-2048 (другие эксперты сообщали, словно употребляется 800-битный ключ) так словно сберегается в корневую папку зашифрованного диска в файл с именованием README.TXT. Зашифрованные файлы перестать делать делать приобретают добавочного расширения.
После исполнения сотворенного до этого поручения комп перезагружается, так словно управление передается троянской загрузочной записи. Она показывает на экране зараженного персонального персонального персонального компьютера текст, напоминающий уведомление нормальной утилиты для испытания дисков CHDISK.
В это пора шифрует MFT (Master File Table). окончив шифрование, показывает на экране заявка злоумышленников об уплате выкупа.
Если в секунда пуска на экране явилось уведомление о запуске утилиты CHDISK, немедленно отключите стол ПК. Загрузочная запись в конкретно в этом случае хватит повреждена, однако ее можно поправить при поддержки утилиты восстановления Windows либо же же Консоли восстановления, загрузившись с дистрибутивного диска. Восстановление загрузочной записи обыкновенно может в ОС Windows версии 7 так словно больше поздних, в случае в случае в случае коли на диске имеется применяемый системой затаенный ответвление с резервной копией критических для работы Windows данных. В Windows XP эдакий метод восстановления загрузки перестать делать делать сработает. еще для этого можно употреблRтьDr.Web LiveDisk — сотворите загрузочный диск либо же же флешку, сделайте загрузку с этого съемного устройства, запустите сканер Dr.Web, сделайте испытание пострадавшего диска, изберите функцию «Обезвредить» для отысканных угроз.
По сообщениям из многочисленных источников единый применяемый распространителями сундук электронной почты в полноценное пора заблокирован, потому они в принципе перестать делать делать имеют шабаш шансы спознаться со своими жертвами (чтобы, например, предложить расшифровку файлов).
С целью профилактики инфецирования троянцем шатия-братия «Доктор Веб» советует вовремя формировать резервные клоны любых критических заданных на независящих носителях, а уж уж уж уж еще употреблRтьфункцию «Защита от утраты данных» Dr.Web Security Space. помимо того, надобно ставить баста обновления безопасности операционной системы. знатоки фирме «Доктор Веб» продолжают изучение шифровальщика .
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости