Trojan.Ransom.Petya (Petya 2.0 2016 Ransomware, flashing lights warning)
Talaan ng mga Nilalaman:
Ang Petya Ransomware / Wiper ay lumilikha ng kalituhan sa Europa, at isang sulyap sa impeksiyon ang unang nakita sa Ukraine kapag higit pa sa Nakompromiso ang 12,500 machine. Ang pinakamasamang bahagi ay ang pagkalat ng mga impeksiyon sa Belgium, Brazil, India at Estados Unidos. Ang Petya ay may mga kakayahan ng worm na magpapahintulot sa ito na kumalat sa ibang pagkakataon sa buong network. Nagbigay ang Microsoft ng isang gabay tungkol sa kung paano ito haharapin ng Petya,
Petya Ransomware / Wiper
Matapos ang pagkalat ng paunang impeksiyon, ang Microsoft ngayon ay may katibayan na ang ilan sa mga aktibong impeksyon ng ransomware ay unang naobserbahan mula sa lehitimong Proseso ng pag-update ng MEDoc. Ginawa ito ng isang malinaw na kaso ng mga pag-atake ng supply chain ng software na naging medyo pangkaraniwan sa mga attackers dahil nangangailangan ito ng isang pagtatanggol ng napakataas na antas.
Ang larawan sa ibaba sa itaas ay nagpapakita kung paano ang Evit.exe na proseso mula sa MEDoc ay isinagawa ang sumusunod na command linya, Kapansin-pansin na katulad vector ay nabanggit din ng Ukraine Cyber Police sa pampublikong listahan ng mga tagapagpahiwatig ng kompromiso. Sinasabi na ang Petya ay may kakayahang
- Pagnanakaw ng mga kredensyal at paggamit ng aktibong mga sesyon
- Paglilipat ng mga nakakahamak na file sa mga makina sa pamamagitan ng paggamit ng mga serbisyo sa pagbabahagi ng file
- Pag-abuso sa SMB na mga kahinaan sa isang kaso ng mga hindi nagpapatong machine
Lateral na mekanismo ng paggalaw gamit ang pagnanakaw ng kredensyal at pagpapanggap ay nangyayari
Ang lahat ay nagsisimula sa Petya na bumababa sa isang tool ng paglalaglag ng kredensyal, at ito ay nasa parehong 32-bit at 64-bit variant. Dahil ang mga gumagamit ay karaniwang nag-log in gamit ang ilang mga lokal na account, palaging may pagkakataon na ang isa sa isang aktibong session ay bukas sa maraming machine. Ang mga ninakaw na kredensyal ay makakatulong sa Petya upang makakuha ng isang pangunahing antas ng pag-access.
Sa sandaling tapos na tinitingnan ng Petya ang lokal na network para sa wastong mga koneksyon sa port tcp / 139 at tcp / 445. Pagkatapos ay sa susunod na hakbang, ito ay tinatawag na subnet at para sa bawat subnet user ang tcp / 139 at tcp / 445. Pagkatapos ng pagkuha ng isang tugon, ang malware ay pagkatapos ay kopyahin ang binary sa remote machine sa pamamagitan ng paggamit ng tampok na paglipat ng file at ang mga kredensyal na ito ay maagang pinamamahalaang upang magnakaw.
Ang psexex.exe ay bumaba sa pamamagitan ng Ransomware mula sa isang naka-embed na mapagkukunan. Sa susunod na hakbang, ina-scan nito ang lokal na network para sa mga pagbabahagi ng admin $ at pagkatapos ay replicates mismo sa network. Bukod sa kredensyal na paglalagay ng malware ay nagsisikap din na magnakaw ng iyong mga kredensyal sa pamamagitan ng paggamit ng CredEnumerateW function upang makuha ang lahat ng iba pang mga kredensyal ng gumagamit mula sa kredensyal na tindahan.
Encryption
Ang malware ay nagpasiya na i-encrypt ang sistema depende sa ang antas ng pribilehiyo ng proseso ng malware, at ito ay ginagawa sa pamamagitan ng paggamit ng XOR na batay sa hasheng algorithm na sumusuri laban sa mga halaga ng hash at ginagamit ito bilang isang pagbubukod ng pag-uugali.
Sa susunod na hakbang, ang Ransomware ay sumulat sa master boot record at pagkatapos ay nagtatakda pataas ang sistema upang i-reboot. Higit pa rito, ginagamit din nito ang naka-iskedyul na mga tungkulin na pag-andar upang i-shut down ang makina pagkatapos ng 10 minuto. Ang Petya ay nagpapakita ng isang pekeng mensahe ng error na sinusundan ng isang mensahe ng Ransom na aktwal na ipinakita sa ibaba.
Pagkatapos ay susubukan ng Ransomware na i-encrypt ang lahat ng mga file na may iba`t ibang mga extension sa lahat ng drive maliban sa C: Windows. Ang AES key na nabuo ay bawat nakapirming drive, at ito ay makakakuha ng na-export at gumagamit ng naka-embed na 2048-bit RSA pampublikong key ng magsasalakay, sabi ng Microsoft.
Ang bagong tampok sa pag-import ay magagamit para sa lahat ng mga bagong user, at dahan-dahan na pinalabas para sa mga mas lumang account sa mga darating na linggo . Maaari pa ring gamitin ng mga mas lumang user ang pagkuha ng POP3 mail at pag-import ng mga contact sa pamamagitan ng isang CSV file habang naghihintay sila para sa bagong tampok.
Nagdagdag din ang Google ng ilang higit pang mga tampok para sa Gmail kahapon. Ang kamakailan-lamang na inilunsad na nakapag-iisang mga contact manager ay maaari na ngayong mapagsama ang lahat ng iyong mga contact sa pamamagitan ng pag-import ng mga contact mula sa Outlook, Outlook Express, Hotmail at Yahoo sa format ng CSV, at OS X Address Book sa vCard format. Ang isang field ng kaarawan ay naidagdag sa kahilingan ng user.
Habang ang Apple - at partikular na iPhone - ang mga tsismis ay isang dosenang isang dosenang, ang isang ito ay maaaring may merito. Para sa AT & T, ang isang mas mura na plano sa serbisyo sa antas ng entry ay maaaring humimok sa mga mamimili na nasa-bakod na nagmamahal sa iPhone ngunit hindi ang mga buwanang bayad na kasama nito. Ang isang $ 10 na diskwento ay maaaring hindi mukhang magkano, ngunit maaari itong maakit ang mga bagong tagasuskribi, lalo na kung sinamahan ng isang mas murang iPhon
[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]
Ang isang operating system ay isang kernel, isang pagsuporta sa cast ng mga programa, at isang konsepto. Para sa ilang mga komersyal na entity, ito rin ay isang kampanya sa marketing, hype at kita. Ngunit, ang Linux operating system ay isa pang lasa ng sistemang operating ng Unix? Oo. Kung gusto mo, bilang isang may-ari ng negosyo, nais malaman kung ang Linux ay sapat na tulad ng Unix na maaari mong lumipat mula sa isang komersyal na lasa ng Unix sa Linux na may pinakamaliit na problema at gasto
[Karagdagang pagbabasa: 4 Mga proyektong Linux para sa mga newbies at intermediate users]