Взято: https://nice-design.com.ua

, Як втім і інші види вірусів, використовує спосіб зараження через вкладення в email з офісними розширеннями - doc, docx, xls, xlsx, rtf. Рідше можуть використовуватися і інші типи файлів - js, pif тощо.

Після завантаження та відкриття такого вкладення з малваре «Petya», відбудеться установка зловреда, при цьому використовується вразливість CVE-2017-0199.

Після цього запустяться 2 основних потоку:

• Petya використовує добре знайому вразливість (CVE-2017-0144) в першому потоці і намагається інфікувати інші комп'ютери в мережі. Даний експлойт був викрадений з арсеналу АНБ США хакерами Shadow Brokers і викладений у відкритий доступ 14 квітня.
• При недавньої атаці WannaCry в травні цього року, була використана та ж сама вразливість.
• У другому потоці Petya робить дамп LSA для отримання паролів доменних і локальних вже перевірений адміністратором сайту облікових записів. (Аналог mimicatz x86, x64), і після цього заражає інші комп'ютери в мережі за допомогою PsExec або команди WMI.

Все це дозволяє Petya заразити всю мережу, якщо є хоча б одна інфікована машина з паролем адміністратора в LSA. Це відрізняє Petya від WannaCry, де було потрібно, щоб всі комп'ютери мали уразливий SMB v1. (EternalBlue).

Команди, які виконує вірус для очищення системного журналу ОС і журналу NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)

Щоб перевірити чи інфікований вже комп'ютер, вірус використовує файл «c: \ windows \ perfc.dat» (kill switch).

Тому, щоб захистити систему від Petya, слід створити файл perfc.dat в папці C: \ Windows і виставити права «Тільки для читання» C: \ Windows \ perfc.dat Однак немає ніякої гарантії, що в наступній атаці вірус не змінить назву.

Після паузи в 30-40 хвилин «Petya» шифрує локальні файли, намагається підмінити MBR і MFT і піти в перезавантаження. Потім користувач бачить на екрані зловісний картинку 🙁

Захист від подібних атак?

1. Вжити заходів протидії mimikatz і технікам підвищення привілеїв в мережах Windows.
2. Встановити патч KB2871997;
3. Ключ реєстру: HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / SecurityProviders / WDigest / UseLogonCredential встановити в 0;
4. Переконатися в тому, що паролі локальних адміністраторів на всіх робочих станціях і серверах різні;
5. Екстрено поміняти всі паролі привілейованих користувачів (адміністраторів систем) в доменах;
6. Ставити патчі від CVE-2017-0199 і EternalBlue (МS17-010);
7. Екстрено відбирати адмінських права у всіх, кому вони не потрібні. (Судячи з того, що LSA дампи, занадто багато адмінських прав в мережі або занадто необережні адміни;
8. Не дозволяйте користувачам підключати ноутбуки до ЛВС, поки не пропатчити всі комп'ютери в мережі;
9. Робіть регулярний Backup всіх критичних систем. В ідеалі використовуйте обидва варіанти - бекап в хмарі і на знімних носіях;
10. Впровадити політику нульового довіри і проведіть навчання з безпеки для своїх співробітників;
11. Вимкніть SMBv1 в мережі;
12. Підпишіться на Microsoft Technical Security Notifications;

Читайте також про вірус JAFF 5 МЛН. ЛИСТІВ НА ГОДИНУ