Petya/Misha/GoldenEye/Another/BadRabbit Ransomware

safety

Petya is different from the other popular ransomware these days. Instead of encrypting files one by one, it denies access to the full system by attacking low-level structures on the disk. This ransomware’s authors have not only created their own boot loader but also a tiny kernel, which is 32 sectors long.

Petya’s dropper writes the malicious code at the beginning of the disk. The affected system’s master boot record (MBR) is overwritten by the custom boot loader that loads a tiny malicious kernel. Then, this kernel proceeds with further encryption. Petya’s ransom note states that it encrypts the full disk, but this is not true. Instead, it encrypts the master file table (MFT) so that the file system is not readable.

blog.malwarebytes.org

Petya атакует преимущественно специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма направленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox.

Запуск этого exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты GDATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

xakep.ru

Другая плохая новость заключается в том, что установщик Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

habrahabr.ru

safety

похоже, найдено решение по Petya Ransomware!



https://petya-pay-no-ransom.herokuapp.com/
или
https://petya-pay-no-ransom-mirror1.herokuapp.com/
-------------
Petya Ransomware's Encryption Defeated and Password Generator Released

An individual going by the twitter handle leostone was able to create an algorithm that can generate the password used to decrypt a Petya encrypted computer. In my test this, this algorithm was able to generate my key in 7 seconds.

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

проверил данное решение на VM. поскольку у меня был зашифрованный снэпшот на виртуальной машине. Для извлечения инфо из указанных секторов:

Nonce 8-bytes:
sector 54 [0x36] offset: 33 [0x21]
Encrypted Verification Sector 512-bytes:
sector 55 [0x37] offset: 0 [0x0]

использовал утилиту PetyaExtractor, разработанную Fabian Wosar (Emsisoft)
полученные данные были добавлены в web-генератор, разработанный leostone

в течении 1 минуты ключ был вычислен:

I hope this service is of some help to you. Ciao leostone ...


KxdxmxpxjxqxQxkx score: 49 (lower is better)
bxTxLxPxmxDxxxHx score: 48 (lower is better)
2x4xLxLxGxwxXxux score: 47 (lower is better)
2xbxLxLxGxwxXxux score: 46 (lower is better)
2xbxLxLxGxwxXxWx score: 42 (lower is better)
2xSxLxLxGxwxXxWx score: 40 (lower is better)
2xbxLxLxGxAxXxWx score: 38 (lower is better)
2xbxLxLxGxAxLxWx score: 37 (lower is better)
2xbxLxDxGxAxXxWx score: 36 (lower is better)
2xbxHxDxGxAxXxWx score: 35 (lower is better)
2xSxxxpxGxAxXxWx score: 34 (lower is better)
2xPxxxpxGxAxXxWx score: 30 (lower is better)
2xUxxxpxGx4xXxWx score: 29 (lower is better)
2xPxhxqxFxCxXxWx score: 28 (lower is better)
2xRxhxqxFxCxXxWx score: 23 (lower is better)
DxTx8xpxGx3xXxWx score: 22 (lower is better)
3xTxxxQxgx3xxxWx score: 20 (lower is better)
sxRx8xPxgx3xXx7x score: 18 (lower is better)
sxTx8xPxgx3xXx7x score: 0 (lower is better)
Your key is: sxTx8xPxgx3xXx7x

Перезагрузил зашифрованный снэпшот, ввел указанный ключ, и запустил процесс расшифровки. После перезагрузки машины уже загрузился нормальный рабочий стол.
-----------------
еще один вариант:
копируем из под загрузочного диска согласно методике восстановления ключа сектора 54 и 55 и сохраняем в файлы.
Например с помощью DMDE

DMDE - эффективная программа для поиска, редактирования и восстановления данных на дисках. Благодаря использованию специальных алгоритмов, DMDE может восстановить структуру директорий и файлы в некоторых сложных случаях, когда другие программы не дают нужный результат.

Затем с помощью winhex выделяем нужные блоки: (блок из sec 55 копируем полностью, из сектора 54 выделяем 8 байт начиная с offset 33) и преобразуем полученные блоки с помощью сервиса Base64/coder/decoder:

далее, добавляем закодированные в base64 блоки в веб-сервис генератора ключа.
------------------

safety

при повторном шифровании исходного снэпшота ключ расшифровки вышел уже другой:
8bytes sector54&base64
g7hdR0gcHPs=
sector 55&base64:

/cc3N8+xNzfngjc30dM3N+25Nzfs/zc3sYQ3N6cPNzc3Mzc3N3c3N1NtNzdLpjc3NSs3N5VsNzfr
ZDc33f03N/zHNzfPsTc357Y3N9GTNzftujc37P83N7GENzenDzc3NTU3Nzf3NzdSbTc3y6c3NzVr
NzeVbDc362U3N939Nzf7xzc3z7E3N+e2NzfREzc3bX83N+3/NzexBDc3pw83NzMHNzc3dzc3Um03
N8tmNzc16zc3lVQ3N+slNzfd/Tc3/cc3N0+9NzfntDc30dM3N216Nzfq/zc3sYQ3N6cPNzcxCTc3
N7c3N1VtNzdLZTc3NSs3N5VUNzfrJTc33f03N/zHNzdPvzc357Y3N9HTNzdtejc36v83N7HENzen
Dzc3PzU3Nze3NzdSbTc3S2Y3NzVrNzeVVDc3ayU3N939Nzf9xzc3T7A3N+dINzfRkzc37X83N+3/
NzexhDc3pw83Nz05Nzc39zc3VG03N8tnNzc16zc3lVQ3N+snNzfd/Tc3/cc3N0+wNzfnSDc30RM3
N22wNzft/zc3sQQ3N6cPNzc7Pzc3Nzc3N1VtNzfLpzc3Nas3N5VsNzfrZTc33f03N/vHNzfPvjc3
5443N9ETNzdtvzc37f83N7GENzenDzc3OQc3Nzf3NzdUbTc3y6Y3NzVrNzeVbDc362Q3N939Nzc=

Your key is: Bxnx9xsxDxGxWx4x

интересно, что только Microsoft смог определить в MBR, снятый с зашифрованной Petja Ransomware системе вредоносный код:

Microsoft Ransom:DOS/Petya.A 20160420

virustotal.com

ну, теперь и uVS будет определять:

Полное имя MBR#0 [20.0GB]
Имя файла MBR#0 [20.0GB]
Тек. статус ?ВИРУС? ВИРУС загрузчик

Статус ВИРУС
Сигнатура Ransom:DOS/Petya.A [Microsoft][глубина совпадения 64(64), необх. минимум 64, максимум 64]

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2016-04-20 [2016-04-20 09:40:05 UTC (20 минут назад)]
Microsoft Ransom:DOS/Petya.A

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 440 байт

Доп. информация на момент обновления списка
SHA1 3144007550B70B9ACAEDC44F6A34640F5359FD64

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

safety

Petya is back and with a friend named Mischa Ransomware
(Петя вернулся обратно вместе с другом по имени Миша РАнсомваре)

Новая программа установки для Petja Ransomware, после запуска, если не в состоянии получить административные привилегии, (чтобы изменить загрузочную запись и вписать свой код в MBR), запускает шифратор Mischa Ransomware без привилегий администратора. Предыдущий установщик в подобном случае ничего не менял в системе. Новый установщик, если не получает администраторских прав, запускает шифратор, который шифрует документы и исполняемые файлы.
------------
bleepingcomputer.com

safety

поиск решения от hasherezade:
https://hshrzd.wordpress.com/2016/04/20/anti-petya-live-cd-the-fastest-stage1-key-decoder/

[02 June 2016]
Procrash prepared a brutforcer for Green Petya key (using multi-threading and GPU for the high performance). Sourcecode available here: https://github.com/procrash/petya-green-multicore. Cracking the key takes about 3 days.

[ 14 May 2016 ] new
I added support for the new (green) version of Petya to the antipetya live CD – again the key can be recovered from Stage 1 – unfortunately, there is no solution for Sage 2 so far.

[ 12 May 2016 ] new
A new (green) version of Petya has been released – the current solutions no longer work.

--------------
была добавлена ​​поддержка нового (зеленого цвета) версии Пети к antipetya Live CD - снова ключ может быть извлечен из стадии 1 (предположительно, что после шифрования MFT на стадии 2 шифратор удаляет этот ключ, и восстановление уже возможно только методами перебора или взлома ключа).
проверяем.
ключ действительно получен после загрузки с antipetya live CD,

однако расшифровка им не удалась, после того как было продолжено шифрование MFT на второй стадии.

safety

добавим, что leostone выпустил утилиту hack-petya (под Win,Linux), которая позволяет получить ключ расшифровки к Petya Ransomware (red version) на рабочем столе, без использования внешнего сервера с веб-генератором.

Интересный эпизод из пред_истории создания дешифратора от leostone:

My easter visit to my father in law got me into this mess, excuse me. First news after the hello was:
"Someone was applying for a job, and i really, really needed to read his CV, so I entered the ADMIN-PASSWORD and now there is only this red skull ..."

oh no, oh nooo

---------
утилиту hack-petya необходимо запускать из одного каталога, где лежат файлы nonce.txt, src.txt

*** заметим, что если мы использовали здесь для получения nonce и src утилитку PETYAEXTRACTOR от F.Wosar, то результат необходимо предварительно декодировать из Base64.

00000000 c9 f0 5a 08 9c 4d 64 a1 14 c4 dd c8 cc f7 e8 6f |..Z..Md........o|
00000010 00 06 80 80 64 5a c2 5e 5a 07 a4 6f e2 5c ea ca |....dZ.^Z..o.\..|
00000020 cb f0 5a 0d 9c 53 64 a1 14 c2 dd c8 cc f7 e8 6f |..Z..Sd........o|
00000030 02 02 80 c0 62 5a c2 5d 5a 87 a4 6f 62 58 ea ca |....bZ.]Z..obX..|
00000040 cb f0 da c8 9c 4f e4 e0 94 81 dc c8 cc b7 e8 51 |.....O.........Q|
00000050 04 0c 80 80 64 5a c2 5e 5a 07 a4 6f e2 57 e9 ca |....dZ.^Z..o.W..|
00000060 ca f0 5a 08 9c 53 64 e1 14 c2 dd c8 cc 77 e8 6f |..Z..Sd......w.o|
00000070 06 0e 80 00 65 5a c2 5e 5a 87 a4 6f 62 5d ea ca |....eZ.^Z..ob]..|
00000080 cc f0 da 08 9c 55 64 e1 14 c1 dd c8 cc f7 e8 6f |.....Ud........o|
00000090 08 32 80 40 64 5a c2 5e 5a 87 a4 6f 62 5d ea ca |.2.@dZ.^Z..ob]..|
000000a0 c9 f0 da c8 9c 4d e4 e0 14 83 dc c8 cc b7 e8 51 |.....M.........Q|
000000b0 0a 38 80 80 65 5a 42 5d 5a 07 a4 6f 62 5d e9 ca |.8..eZB]Z..ob]..|
000000c0 ca f0 5a c8 9c 49 e4 60 94 84 dc c8 cc f7 e8 51 |..Z..I.`.......Q|
000000d0 0c 34 80 80 63 5a c2 5d 5a c7 a4 6f e2 57 e9 ca |.4..cZ.]Z..o.W..|
000000e0 cc f0 da 08 9c 57 64 21 14 c4 dd c8 cc b7 e8 6f |.....Wd!.......o|
000000f0 0e 0a 80 c0 65 5a c2 5d 5a 47 a4 6f e2 57 ea ca |....eZ.]ZG.o.W..|

[61641 2138 19868 41316 50196 51421 63436 28648 1536 32896 23140 24258 1882 28580 23778 51946]

Your key is: sxTx8xPxgx3xXx7x


по второму примеру с red PR утилита так же успешно нашла ключ:

00000000 ca f0 f8 86 d0 b5 e6 e4 da 8e db c8 86 b3 90 38 |...............8|
00000010 00 04 00 40 64 5a 7c 91 02 1c a2 5b dc 53 ea ca |...@dZ|....[.S..|
00000020 cb f0 f8 86 d0 81 e6 a4 da 8d db c8 86 b3 90 38 |...............8|
00000030 02 02 00 c0 65 5a fc 90 02 5c a2 5b dc 52 ea ca |....eZ...\.[.R..|
00000040 cc f0 f8 86 d0 81 e6 24 5a 48 da c8 86 33 90 38 |.......$ZH...3.8|
00000050 04 30 00 40 65 5a fc 51 02 dc a2 63 dc 12 ea ca |.0.@eZ.Q...c....|
00000060 ca f0 78 8a d0 83 e6 e4 5a 4d dd c8 86 b3 90 38 |..x.....ZM.....8|
00000070 06 3e 00 80 62 5a 7c 52 02 1c a2 63 dc 12 ea ca |.>..bZ|R...c....|
00000080 cb f0 78 88 d0 81 e6 e4 5a 4d dd c8 86 f3 90 38 |..x.....ZM.....8|
00000090 08 02 00 80 65 5a 7c 51 02 5c a2 63 5c 12 ea ca |....eZ|Q.\.c\...|
000000a0 ca f0 78 87 d0 7f e6 a4 da 48 da c8 86 b3 90 38 |..x......H.....8|
000000b0 0a 0e 00 c0 63 5a fc 50 02 dc a2 63 dc 10 ea ca |....cZ.P...c....|
000000c0 ca f0 78 87 d0 7f e6 24 5a 87 da c8 86 33 90 38 |..x....$Z....3.8|
000000d0 0c 08 00 00 62 5a fc 90 02 9c a2 5b dc 52 ea ca |....bZ.....[.R..|
000000e0 cc f0 f8 89 d0 b9 e6 24 5a 88 da c8 86 b3 90 38 |.......$Z......8|
000000f0 0e 30 00 c0 63 5a fc 91 02 5c a2 5b dc 53 ea ca |.0..cZ...\.[.S..|

[61642 34552 46544 58598 36570 51419 45958 14480 1024 16384 23140 37244 7170 23458 21468 51946]

Your key is: Bxnx9xsxDxGxWx4x
---------------------


будет ли она работать с green PR, надо проверить.

safety

hasherezade утверждает что может помочь с расшифровкой Petya Green.

We can help…

If you spotted on your computer the same logo as on this homepage displaying a green skull you became a victim of the new released ransomware petya-mischa.
Under those circumstances we are able to recover your valuable data.

https://petyaransomwarehilfe.wordpress.com/victim-of-a-ransomware/
-----------
возможно платно, надо проверить.

2. We’re even quicker if you…

extract the required information from your encrypted harddrive for us with this provided tool (Petya Sector Extractor) and send the information via eMail to [email protected]…
We come back to you as soon as we found the key.

-------
пока неудачно. PetyaDiskDump.exe вылетает после запуска из под Winpe10&uVS

safety

Разработчики Petya&Misha Ransomware исправили уязвимости в алгоритмах шифрования благодаря вниманию специалистов_криптологов и теперь предоставляют готовый сервис (Ransomware as a Service, or RaaS) для использования. Изначально был нацелен на немецких пользователей, возможно теперь получит более широкое распространение.

Today, the Petya and Mischa Ransomware devs have made their Ransomware as a Service, or RaaS, open to the public. For the past few months, the Petya & Mischa RaaS has been been in testing with a limited amount of supposed high volume distributors. As of today, any would-be criminal can signup and become an official distributor. Unfortunately, this will most likely lead to a greater amount of distribution campaigns for this ransomware.

bleepingcomputer.com

safety

Petya Ransomware вернулся с GoldenEye версией.

The author of the Petya-Mischa ransomware combo has returned with a new version that uses the name GoldenEye Ransomware, continuing the malware's James Bond theme.

Brought to our attention today by a Bleeping Computer user named gizmo21, this new "GoldenEye" ransomware is almost identical to past Petya and Mischa variants.

bleepingcomputer.com

safety

PetrWrap Ransomware Is a Petya Offspring Used in Targeted Attacks

A heavily modified, but "unauthorized" version of the Petya ransomware has been seen by Kaspersky researchers used in targeted attacks on a small number of organizations.

Named PetrWrap, this Petya offspring is part of the arsenal of a new threat actor that's hacking corporate networks and then using the Windows PsExec utility to install PetrWrap on vulnerable servers and endpoints.

Исследователи из Лаборатории Касперского обнаружили сильно измененную, «неавторизованную» версию «вымогателя Пети», которая используется для целенаправленных атак на небольшое количество организаций.

Названный PetrWrap, это детище Petja является частью арсенала нового распространителя угроз, который взламывает корпоративные сети, а затем использует утилиту Windows PsExec для установки PetrWrap на уязвимые серверы и конечные точки.



bleepingcomputer.com

securelist.com

id-ransomware.blogspot.ru

safety

Petja Ransomware вернулся вместе с ETERNALBUE

https://twitter.com/GroupIB_GIB/status/879687387235971073

safety

New WannaCryptor-like ransomware attack hits Ukraine … may be global in scope
By Editor posted 27 Jun 2017 - 05:07PM

Numerous reports are coming out on social media about a new ransomware attack in Ukraine, which could be related to the Petya family, which is currently detected by ESET as Win32/Diskcoder.C Trojan. If it successfully infects the MBR, it will encrypt the whole drive itself. Otherwise, it encrypts all files, like Mischa.

For spreading, it appears to be using a combination of the SMB exploit (EternalBlue) used by WannaCry for getting inside the network, then spreading through PsExec for spreading within the network.

This dangerous combination may be the reason why this outbreak has spread globally and rapidly, even after the previous outbreaks have generated media headlines and hopefully most vulnerabilities have been patched. It only takes one unpatched computer to get inside the network, and the malware can get administrator rights and spread to other computers.

---

В социальных сетях выходят многочисленные сообщения о новой атаке на выкуп в Украине, которая может быть связана с семейством Петя, которая в настоящее время обнаруживается ESET как Win32 / Diskcoder.C Trojan. Если он успешно заражает MBR, он зашифрует весь диск. В противном случае он шифрует все файлы, также как Mischa.

Для распространения, похоже, используется комбинация эксплойта SMB (EternalBlue), используемого WannaCry для доступа в сеть, а затем распространения через PsExec для распространения в сети.

Эта опасная комбинация может быть причиной того, что эта вспышка распространилась по всему миру и быстро, даже после того, как предыдущие вспышки вызвали заголовки СМИ и, надеюсь, большинство уязвимостей были исправлены. Для доступа в сеть требуется только один непропатченный компьютер, и вредоносное ПО может получать права администратора и распространяться на другие компьютеры.

Update (June 28 – 15:00 CEST): ESET researchers have confirmed that further affected systems had access to Ukraine networks through VPN. Presently, it has not been seen in the malware a functionality to spread outside of the LAN network.

Update (June 27 – 23.34 CEST): Shutting down the computer and not booting again could prevent the disk encryption, though several files can be already encrypted after the MBR is replaced and further infection through the network is attempted.

Update (June 27 – 22.28 CEST): Paying is no longer possible as the email to send the Bitcoin wallet ID and “personal installation key” has been shut down by the provider. Thus, people shouldn’t pay for the ransom as they will not be able to receive the decryption key.

Update (June 27 – 21.20 CEST): ESET researchers have located the point from which this global epidemic has all started. Attackers have successfully compromised the accounting software M.E.Doc, popular across various industries in Ukraine, including financial institutions. Several of them executed a trojanized update of M.E.Doc, which allowed attackers to launch the massive ransomware campaign today which spread across the whole country and the rest of the world. M.E.Doc has today released a warning on its website.

---

Обновление (28 июня - 15:00 CEST): Исследователи ESET подтвердили, что дальнейшие затронутые системы имеют доступ к сетям Украины через VPN. В настоящее время во вредоносном ПО не было обнаружено функциональности распространения за пределами сети ЛВС.

Обновление (27 июня - 23.34 CEST): выключение компьютера, а не загрузка снова может предотвратить шифрование диска, хотя несколько файлов могут быть уже зашифрованы после замены MBR и попытки дальнейшего заражения через сеть.

Обновление (27 июня - 22.28 CEST): Платеж больше невозможен, поскольку адрес электронной почты для отправки идентификатора Биткойн-кошелька и «персональный ключ установки» был отключен провайдером. Таким образом, люди не должны платить за выкуп, так как они не смогут получить ключ дешифрования.

Обновление (27 июня - 21.20 CEST): Исследователи ESET нашли точку, с которой началась эта глобальная эпидемия. Атакующие успешно скомпрометировали бухгалтерское программное обеспечение M.E.Doc, популярное в различных отраслях промышленности Украины, включая финансовые учреждения. Некоторые из них выполнили троянское обновление M.E.Doc, которое позволило злоумышленникам начать массовую кампанию по раскупольным методам, которая распространилась по всей стране и остальному миру. Сегодня M.E.Doc опубликовал предупреждение на своем веб-сайте.

welivesecurity.com

Крупные супермаркеты } {арькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):



Украина подверглась самой крупной в истории кибератаке вирусом Petya

27 июня 2017 года сообщения о заражении вымогательством начали распространяться по всей Европе. Мы видели первые инфекции в Украине, где угроза угрожала более 12 500 машин. Затем мы наблюдали инфекции в других 64 странах, включая Бельгию, Бразилию, Германию, Россию и Соединенные Штаты.

Новая версия ransomware имеет возможности червя, которые позволяют ей перемещаться в поперечном направлении по зараженным сетям. Основываясь на нашем расследовании, этот новый выкупный код разделяет аналогичные коды и является новым вариантом Ransom: Win32 / Petya

New ransomware, old techniques: Petya adds worm capabilities

safety

Posteo, поставщик электронной почты, в котором автор Petya размещает почтовый ящик для обработки жертв из-за массового всплеска вымогательства, объявил, что он закрыл учетную запись электронной почты мошенника: [email protected].

Решение немецкого поставщика электронной почты является катастрофической новостью для жертв «Петя», поскольку они не смогут отправить письмо автору Петя в случае, если они захотят заплатить выкуп за восстановление конфиденциальных файлов, необходимых для неотложных вопросов.

https://www.bleepingcomputer.com/news/security/email-provider-shuts-down-petya-inbox-preventing-victims-from-recovering-files/

Сегодняшняя массовая вспышка вымогательства была вызвана вредоносным обновлением программного обеспечения для M.E.Doc, популярного программного обеспечения учета, используемого украинскими компаниями.

Согласно источникам, таким как Cisco Talos, ESET, MalwareHunter, «Лаборатория Касперского», Полиция Украины и другие, неизвестный злоумышленник смог скомпрометировать механизм обновления программного обеспечения для серверов M.E.Doc и доставить вредоносное обновление для клиентов.

Когда обновление дошло до клиентов M.E.Doc, зараженное программное обеспечение поставило Petya ransomware, также упоминаемое в Интернете как NotPetya, или Petna.

https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/

Первоначально исследователи полагали, что это новое вымогательство было новой версией более старой угрозы под названием «Петя», но позже выяснилось, что это был новый штамп вообще, который заимствовал какой-то код от Петя, отсюда причина, по которой они недавно начали его, назвав его NotPetya, Petna , Или, как нам нравится называть его SortaPetya.

Анализируя внутреннюю работу ransomware, Серпер первым обнаружил, что NotPetya будет искать локальный файл и выйдет из своей процедуры шифрования, если этот файл уже существует на диске.

Первые результаты исследования были позже подтверждены другими исследователями безопасности, такими как PT Security, TrustedSec и Emsisoft.

Это означает, что жертвы могут создать этот файл на своих ПК, установить его только для чтения и заблокировать выполнение Ransomware NotPetya.

Несмотря на то, что это предотвращает запуск вымогательства, этот метод скорее является вакцинацией, чем выключателем. Это связано с тем, что каждый компьютерный пользователь должен самостоятельно создать этот файл по сравнению с «переключателем», который разработчик Ransomware мог бы включить во всем мире, чтобы предотвратить все заразы ransomware.

Как включить вакцину NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер, чтобы вы не могли заразиться текущим штаммом NotPetya / Petya / Petna (да, это именование раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте его только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг для вас.

Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat

@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.
      
net session >nul 2>&1

if %errorLevel% == 0 (
   if exist C:\Windows\perfc (
      echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
      echo.
   ) else (
      echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

      attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat

      echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
      echo.
   )
) else (
   echo Failure: You must run this batch file as Administrator.
)
  
pause

Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете использовать следующие шаги. Обратите внимание, что эти шаги создаются, чтобы сделать его максимально простым для тех, у кого мало опыта работы с компьютером. Для тех, у кого больше опыта, вы можете сделать это довольно много и, вероятно, лучше.

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

safety

Искупительная версия NotPetya, которая зашифровала и заблокировала тысячи компьютеров по всему миру вчера и сегодня, на самом деле является дисковым чистящим средством ("вайпер"), предназначенным для саботажа и уничтожения компьютеров, а не для вымогательства. Это вывод двух отдельных отчетов от экспертов Comae Technologies и «Лаборатории Касперского».

Эксперты говорят, что NotPetya (Another Petja) - также известный как Petya, Petna, ExPetr - работает как вымогательство, но подсказки, скрытые в его исходном коде, показывают, что пользователи никогда не смогут восстановить свои файлы.

Это не имеет никакого отношения к тому факту, что немецкий поставщик электронной почты отключил учетную запись электронной почты оператора NotPetya. Даже если жертвы смогут связаться с автором NotPetya, у них все еще нет шансов восстановить свои файлы.

Another Petja никогда не пытается генерировать действительный идентификатор заражения

Это связано с тем, что Another Petja генерирует случайный идентификатор заражения для каждого компьютера. Выкуп, который не использует сервер управления и управления, например Another Petja, использует идентификатор заражения для хранения информации о каждой зараженной жертве и ключ дешифрования.

Поскольку Another Petja генерирует случайные данные для этого конкретного идентификатора, процесс дешифрования невозможен, по словам эксперта Касперского Антона Иванова.

«Что это значит? Ну, во-первых, это самые плохие новости для жертв - даже если они платят выкуп, они не вернут свои данные. Во-вторых, это подкрепляет теорию о том, что главная цель ExPetr: Нападение не было финансово мотивированным, но разрушительным », - сказал Иванов.

Файл MFT не восстанавливается

Открытие Kaspersky было также подкреплено отдельным докладом, опубликованным исследователем Comae Technologies Мэттом Суйче, который нашел совершенно другой недостаток, но пришел к такому же выводу.

В своем отчете Suiche описывает ошибочную последовательность операций, из-за которой невозможно восстановить исходный MFT (файл главного дерева), который NotPetya шифрует. Этот файл обрабатывает расположение файлов на жестком диске, и если этот файл остается зашифрованным, нет никакого способа узнать, где каждый файл находится на зараженном компьютере.

«[Оригинал] Петя модифицирует диск таким образом, что он действительно может отменить свои изменения. В то время как [NotPetya] делает постоянный и необратимый ущерб для диска», - сказал Суйче.
....

Консенсус по NotPetya резко изменился за последние 24 часа, и не будет ошибкой сказать, что NotPetya находится на одном уровне с Stuxnet и BlackEnergy, двумя семействами вредоносных программ, которые используются в политических целях и для их разрушительных эффектов. Свидетельства ясно показывают, что NotPetya - это кибер-оружие, а не просто чрезмерно агрессивное вымогательство.

bleepingcomputer.com

safety

The author of the original Petya ransomware — a person/group going by the name of Janus Cybercrime Solutions — has released the master decryption key of all past Petya versions.

This key can decrypt all ransomware families part of the Petya family except NotPetya, which isn't the work of Janus. This list includes:
⩥ First Petya ransomware version (flashed white skull on red background during boot-up screens)
⩥ Second Petya version that also included Mischa ransomware (flashed green skull on black background during boot-up screens)
⩥ Third Petya version, also known as GoldenEye ransomware (flashed yellow skull on black background during boot-up screens)

---

Автор оригинального Petya ransomware - человек / группа по имени Janus Cybercrime Solutions - выпустил главный ключ дешифрования всех прошлых версий Petya.

Этот ключ может расшифровать все семейства ransomware семейства Petya, кроме NotPetya, что не является работой Януса.
Этот список включает:
⩥ Первая версия Петя (мигающий белый череп на красном фоне во время загрузочных экранов)
⩥ Вторая версия «Петя», которая также включала выкуп Mischa (мелькнувший зеленый череп на черном фоне во время загрузочных экранов)
⩥ Третья версия Petya, также известная как GoldenEye ransomware (мелькнула желтый череп на черном фоне во время загрузочных экранов)

Подлинность ключа расшифровки Petya подтверждена

Janus выпустил главный ключ в среду в твиттере, который связан с зашифрованным и защищенным паролем файлом, загруженным на Mega.nz.

«Они прямо перед вами и могут открывать очень большие двери» https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog
- JANUS (@JanusSecretary) 5 июля 2017 года

Malwarebytes security researcher Hasherezade cracked the file yesterday and shared its content:

Congratulations!
Here is our secp192k1 privkey:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the "Personal Code" which is BASE58 encoded.

blog.malwarebytes.com

Kaspersky Lab security researcher Anton Ivanov tested and confirmed the master key's validity.

The published #Petya master key works for all versions including #GoldenEye pic.twitter.com/tTRLZ9kMnb
— Anton Ivanov (@antonivanovm) July 6, 2017

https://twitter.com/antonivanovm/status/883018977835921409

Этот ключ является приватным (серверным) ключом, используемым во время шифрования прошлых версий Petya. Дешифраторы могут быть построены с этим ключом. Раньше исследователи безопасности взломали шифрование Petya, по крайней мере, в двух случаях [1, 2], но с закрытым ключом в открытом файле decrypter будет восстанавливать файлы намного быстрее, чем ранее известные методы.

К сожалению, этот ключ дешифрования не будет таким полезным, как многие думают.

Большинство (оригинальных) кампаний Петя произошло в 2016 году, и в этом году было очень мало кампаний. Пользователи, у которых были заблокированные файлы, уничтожили диски или заплатили выкуп за несколько месяцев до этого. Ключ поможет только тем жертвам, которые клонировали свои диски и сохранили копию зашифрованных данных.

Приватный ключ будет бесполезен для жертв NotPetya

Этот ключ не поможет жертвам NotPetya/another, потому что вымогательство NotPetya было создано путем «пиратства» оригинального Petya Ransomware и изменения его поведения процессом, называемым patching. NotPetya использовал другую процедуру шифрования и, как оказалось, не имел никакого отношения к оригинальному Petya.

В 2016 году Янус был очень активен в Twitter, продвигая портал Ransomware as-a-Service (RaaS), где другие мошенники могли арендовать доступ к компилятору Petya + Micha ransomware. Янус стал активным в 2017 году после долгого молчания, чтобы отрицать любую причастность к вспышке NotPetya.

Hasherezade полагает, что Янус выпустил ключ расшифровки Пети в результате недавней вспышки NotPetya, и он, возможно, решил закрыть свою операцию.

Janus - не первый автор / группа, занимающаяся вымогательством, который выпустил свой главный ключ дешифрования. Группа TeslaCrypt сделала то же самое весной 2016 года. В прошлом году Янус также взломал серверы конкурирующего автора Ransomware - Chimera ransomware - и сбросил ключи расшифровки.

bleepingcomputer.com

threatpost.ru

safety

судя по сообщению, Hasherezade работает над дешифратором для прежних версий Petya с учетом полученного мастер-ключа.

enter aes-256-cbc decryption password:
Congratulations!

Here is our secp192k1 privkey:

38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the "Personal Code" which is BASE58 encoded.

It seems that this is Janus' private key for all the previous Petyas. This key cannot help in case of EternalPetya, since, in this particular case, the Salsa keys are not encrypted with Janus' public key, but, instead of this, erased and lost forever. However, it can help to the people who were attacked by Petya/Goldeneye in the past. I will write a decryptor soon, stay tuned!

github.com/hasherezade

safety

продолжение от hasherezade:

Posted: July 14, 2017 by Malwarebytes Labs

Last June 27, there was a huge outbreak of a Petya-esque malware with WannaCry-style infector in the Ukraine.

Since there is still confusion about how exactly this malware is linked to the original Petya, we have prepared this small guide on the background of the Petya family.

blog.malwarebytes.com

+

A decoder for Petya victim keys, using the Janus' masterkey
It supports:

Red Petya
Green Petya (both versions) + Mischa
Goldeneye (bootlocker + files)

github.com/hasherezade

пока еще бета-версия:
github.com/hasherezade

safety

hasherezade выпустила загрузочный диск antipetya_ultimate v0.1



но я пока не смог получить ключ для расшифровки своих снэпшотов: RED, GREEN, GOLDENEYE.

---

хм,
а это статью я кажется пропустил.
(Bye, bye Petya! Decryptor for old versions released.)

(В переводе на русский это может звучать как "До свидания, наш ласковый Петя/Миша, возвращайся в свой сказочный лес" на мотив известной песни в исполнении Льва Лещенко.)

На основе выпущенного ключа мы подготовили дешифратор, способный разблокировать все законные версии Petya (подробнее об идентификации Petyas):

Красный Петя
Зеленый Петя (обе версии) + Миша
Goldeneye (загрузочный файл + файлы)

Если у вас есть резервная копия зашифрованного диска Petya, пришло время вытащить его с полки и сказать Petya до свидания

blog.malwarebytes.com

github.com/hasherezade


antipetya_ultimate не помог,



а вот petya_key_v0.1_win32 вычисляет ключ, но предварительно необходимо получить файл с идентификатором, который указывает загрузчик.
например:
personal decryption code:

37P3Wxt5xNVEtRiseSNCVFfzFwHuVu3bVZX1YXyT417NNodPPt8hf1sSwEqjMnribvKPTFV73yApKRRYsLu4WGse5Z

добавлю, что personal decryption code можно определить в первых 0_63 секторах вашего диска.

priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Victim file: id.ru
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: ---
[+] Your key : svTX8sPRgE3HXG7R

ключ верный, и я смог расшифровать RED снэпшот.

safety

продолжаем:
GREEN:

personal decryption code:

ddQu3AdbxWe393PgmgmZGS3cN2NjzZwzaxMdDtVtLZeTkX8gWDNyqFJpUr9JKRWRtJaKTGhpxsMvqR2zbGd1QyFk5g908fAA

priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Victim file: id.ru
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: ---
[+] Your key : PssNrn6NBps4t3RQ

GOLDENEYE:

personal decryption code:

wvjJzMgomrHZKcJy6f8rSBnjnrKYnbh1CkxrYULp7Xe7kVZJfEZgChWM57BnkZP4APEaVLDZ22v43TjwBKjueYWYxJcGULgw

priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
Victim file: id.ru
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: ---
[+] Your key : 29b51db10bd22219a20b903dda2cb93b

safety

+
выпущено обновление для antipetya_ultimate и petya_key (v0.2):



github.com/hasherezade

---

еще раз обновился antipetya_ultimate
теперь можно автоматически получить personal decryption code с помощью загрузочного диска и вычислить ключ.
для RED это работает.

safety

+
обновление статьи:

Goldeneye Ransomware – the Petya/Mischa combo rebranded

Posted: December 15, 2016 by Malwarebytes Labs
Last updated: July 2, 2017

From March 2016 we’ve observed the evolution of an interesting low-level ransomware, Petya – you can read about it here. The second version (green) Petya comes combined with another ransomware, packed in the same dropper – Mischa. The latter one was deployed as an alternative payload: in case if the dropper was run without administrator privileges and the low-level attack was impossible. This combo is slowly reaching its maturity – the authors fixed bugs that allowed for decryption of the two earliest versions. Now, we are facing an outbreak of the fourth version – this time under a new name – Goldeneye, and, appropriately, a new, golden theme.

---

С марта 2016 года мы наблюдаем эволюцию интересного низкоуровневого ransomware, Petya - вы можете прочитать об этом здесь. Вторая версия (green) Petya сочетается с другим ransomware, упакованной в тот же самый установщик - Misha. Последняя была развернута как альтернативная полезная нагрузка: в случае, если установщик был запущен без прав администратора, а атака низкого уровня была невозможна. Это тандем медленно достигает своей зрелости - авторы исправили ошибки, которые позволили расшифровать две самые ранние версии. Теперь перед нами четвертая версия - на этот раз под новым именем - Goldeneye и, соответственно, новая, Golden тема.

blog.malwarebytes.com

safety

добавлю, что файлы, зашифрованные GREEN Misha/GOLDENEYE, так же могут быть расшифрованы оригинальным дешифратором.



сохраним id

17MrHs5iUKh1y8HKUGQZpYtsEWwdzYBzkYU3DsVp5rKiotyEfDwemjEiy2QZXBYUkumJXvHyV7YWqaJzhqpzSVGsZ4908fA9

в отдельный файл ID.TXT и вычислим пароль с помощью Petya_key

Для продолжения нажмите любую клавишу . . .
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: save_id.txt
[+] Victim ID: 17MrHs5iUKh1y8HKUGQZpYtsEWwdzYBzkYU3DsVp5rKiotyEfDwemjEiy2QZXBYUkumJXvHyV7YWqaJzhqpzSVGsZ4908fA9
---
[+] Your key : oroHGuoncv9bC8DD

далее, используем дешифратор mischa_decrypter, который указан в статье hasherezade по ссылке:

3. Copy the obtained key. Download the original decryptor, appropriate for your version:

For Mischa: https://drive.google.com/open?id=0Bzb5kQFOXkiSWUZ6dndxZkN1YlE
For Goldeneye: https://drive.google.com/open?id=0Bzb5kQFOXkiSdTZkUUYxZ0xEeDg

выбираем файлы для расшифровки,


добавляем найденный ключ:


получаем расшифровку файлов.

safety

+
GOLDENEYE:

Ранее дроппер GREEN Petya (Petya / Mischa) использовался для запуска всплывающего окна UAC. Если пользователь согласился запустить образец в качестве Администратора, он / она подвергся нападению с помощью низкоуровневой полезной нагрузки: (аналог RED Petya). В противном случае будет развернут шифратор файлов Миша.

В случае GOLDENEYE модель атаки отличается и больше похожа на случай Satana Ransomware.

Во-первых, развертывается высокоуровневая атака и файлы зашифровываются один за другим. Затем вредоносное ПО пытается обойти UAC и самостоятельно повышать свои привилегии, чтобы сделать вторую атаку, на этот раз на низком уровне: аналог RED Petya. Обход работает тихо, если UAC установлен по умолчанию или ниже. В случаях, когда для UAC установлено значение max, появляется окно для разрешения запуска с максимальными привилегиями:

blog.malwarebytes.com

пример шифрования файлов:



сохраним id:

v6vz7yvzfEZBwZyLf2PyfccbsbtHtN96hU8pgQpoSpqbrKjZZyRq1WJSLnSrSTMZZtr3uU65BojfU8FMou7ic428GXQWDHQX

в отдельный файл save_ID.TXT и вычислим пароль с помощью Petya_key

Для продолжения нажмите любую клавишу . . .
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: save_id.txt
[+] Victim ID: v6vz7yvzfEZBwZyLf2PyfccbsbtHtN96hU8pgQpoSpqbrKjZZyRq1WJSLnSrSTMZZtr3uU65BojfU8FMou7ic428GXQWDHQX
---
[+] Your key : 96c72a4161d7e4e08b96a6ccedecdd93

далее, используем дешифратор golden_decrypter, который указан в статье hasherezade по ссылке выше:

выбираем файлы для расшифровки.


добавляем найденный ключ:


получаем расшифровку файлов.

safety

Киевский метрополитет пострадал от нового варианта печально известной программы Diskcoder ransomware (NotPetya)

Согласно сообщениям СМИ, несколько транспортных организаций в Украине, а также некоторые правительственные организации подверглись кибератаке, в результате чего некоторые компьютеры стали зашифрованными.

Публичные источники подтвердили, что затронуты компьютерные системы в Киевском метро, аэропорту Одессы, а также ряде организаций в России.

ESET обнаружил, что в случае Киевского метро вредоносное ПО, используемое для кибератаки, было Diskcoder.D, - новый вариант выкупа, известный также как Петя. Предыдущий вариант Diskcoder использовался в разрушительной кибератаке в глобальном масштабе в июне 2017 года.

Телеметрия ESET обнаружила сотни случаев Diskcoder.D. Большинство обнаружений находятся в России и на Украине, однако также поступают сообщения о компьютерах в Турции, Болгарии и других странах.

Исследователи безопасности ESET работают над всесторонним анализом вредоносного ПО Diskcoder.D. Согласно их предварительным выводам, Diskcoder.D использует инструмент Mimikatz для извлечения учетных данных из затронутых систем. Кроме того, он также имеет жесткий список учетных данных.

Анализ продолжается, и мы обновим эту статью, поскольку будут раскрыты все подробности.

Клиенты ESET защищен от этой угрозы.

https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/

A new ransomware outbreak today and has hit some major infrastructure in Ukraine including Kiev metro. Here are some of the details about this new variant.
Drive-by download via watering hole on popular sites

One of the distribution method of Bad Rabbit is via drive-by download. Some popular websites are compromised and have JavaScript injected in their HTML body or in one of their .js file.

---

Новая вспышка вымогательства сегодня и попала в какую-то крупную инфраструктуру в Украине, включая Киевское метро. Вот некоторые подробности об этом новом варианте.
Загрузка с помощью "drive-by download" на популярных сайтах

Один из способов распространения Bad Rabbit - это загрузка с помощью "drive-by download". Некоторые популярные веб-сайты скомпрометированы и имеют JavaScript, введенные в их тело HTML или в один из их .js-файлов.

Encryption

Win32/Diskcoder.D is modified version of Win32/Diskcoder.C. Bugs in file encryption were fixed. The encryption now uses DiskCryptor, an open source legitimate software used to do full drive encryption. Keys are generated using CryptGenRandom and then protected by hardcoded RSA 2048 public key.

Encrypted files have extension .encrypted. Like before, AES-128-CBC i used.

---

Win32 / Diskcoder.D - это модифицированная версия Win32 / Diskcoder.C. Исправлены ошибки в шифровании файлов. Шифрование теперь использует DiskCryptor, легальное программное обеспечение с открытым исходным кодом, используемое для шифрования полного диска. Ключи генерируются с использованием CryptGenRandom, а затем защищены жестко закодированным открытым ключом RSA 2048.

Файлы зашифрованы без изменения расширения, однако, в конец файла добавлено .encrypted. Как и раньше, использовался AES-128-CBC.

Distribution

Interestingly, ESET telemetry shows that Ukraine accounts only for 12.2% of the total number of times we have seen the dropper component Here are the statistics:

Russia: 65%
Ukraine: 12.2%
Bulgaria: 10.2%
Turkey: 6.4%
Japan: 3.8%
Other: 2.4%

This pretty much match the distribution of compromised websites that include the malicious JavaScript.

---

Интересно, что телеметрия ESET показывает, что Украина составляет только 12,2% от общего числа раз, когда мы видели компонент дроппера. Вот статистика:

Россия: 65%
Украина: 12,2%
Болгария: 10,2%
Турция: 6,4%
Япония: 3,8%
Другое: 2,4%

Это в значительной степени соответствует распределению уязвимых сайтов, содержащих вредоносный JavaScript.

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

русский перевод статьи здесь:
https://habrahabr.ru/company/eset/blog/340890/


badrabbit-info

Rough summary of developing BadRabbit info

Last active Oct 25, 2017
https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb

safety

Вспышка вредоносных программ Bad Rabbit Ransomware в Восточной Европе.

Новый штамм Ransomware Bad Rabbit сеет хаос во многих восточноевропейских странах, затрагивая как государственные учреждения, так и частные предприятия.

На момент написания этой статьи вымогательство попало в такие страны, как Россия, Украина, Болгария и Турция.

Подтвержденные жертвы включают Одесский аэропорт в Украине, Киевскую систему метро в Украине, Министерство инфраструктуры Украины и три российских информационных агентства, в том числе «Интерфакс» и «Фонтанка». Команда CERT Украины выступила с предупреждением и предупреждает украинский бизнес об этой новой вспышке.

Скорость распространения плохих кроликов аналогична вспышкам WannaCry и NotPetya, которые попали в мае и июне этого года, соответственно.

Bad Rabbit ransomware delivered via fake Flash update

ESET and Proofpoint researchers say Bad Rabbit has initially spread via fake Flash update packages, but the ransomware also appears to come with tools that help it move laterally inside a network, which may explain why it spread so quickly across several organizations in such a small time.

In a later report published by Kaspersky, the company telemetry data revealed "the ransomware [was] spread via a drive-by attack," and "victims are redirected to [the website peddling the fake Flash update package] from legitimate news websites."

Based on analysis by ESET, Emsisoft, and Fox-IT, Bad Rabbit uses Mimikatz to extract credentials from the local computer's memory, and along with a list of hard-coded credentials, it tries to access servers and workstations on the same network via SMB and WebDAV [1, 2, 3].

As for Bad Rabbit, the ransomware is a so-called disk coder, similar to Petya and NotPetya. Bad Rabbit first encrypts files on the user's computer and then replaces the MBR (Master Boot Record).

Once Bad Rabbit has done its job, it reboots the user's PC, which gets stuck into the custom MBR ransom note. The ransom note is almost identical to the one used by NotPetya, in the June outbreak. Despite this, there is little resemblence to NotPetya. Intezer claims there is only 13% code reuse between Bad Rabbit and NotPetya.

---

Bad Rabbit использовал фальшивое обновления Flash.

Исследователи ESET и Proofpoint говорят, что Bad Rabbit изначально распространялся через фальшивые пакеты обновления Flash, но, как представляется, у ransomware также есть инструменты, которые помогают ему перемещаться внутри сети, что может объяснить, почему он так быстро распространился по нескольким организациям за такое небольшое время ,

В более позднем отчете, опубликованном Kaspersky, данные телеметрической информации компании показали, что «выкупная реклама была распространена с помощью атаки drive-by-download», а «жертвы перенаправляются на сайт, распространяющий фальшивый пакет обновления Flash с законных новостных сайтов».

Судя по анализу ESET, Emsisoft и Fox-IT, Bad Rabbit использует Mimikatz для извлечения учетных данных из памяти локального компьютера, а также список жестко запрограммированных учетных данных, он пытается получить доступ к серверам и рабочим станциям в одной сети через SMB и WebDAV [1, 2, 3].

Что касается Bad Rabbit, то это так называемый дисковый кодер, похожий на Petya и NotPetya. Bad Rabbit сначала шифрует файлы на компьютере пользователя, а затем заменяет MBR (Master Boot Record).

Как только Bad Rabbit выполнил свою работу, он перезагрузит ПК пользователя и остановится на пользовательской заметке о выкупе MBR. Замечание о
выкупе почти идентично тому, которое использовалось NotPetya, в июньской вспышке. Несмотря на это, мало что напоминает NotPetya. Intezer утверждает, что существует только 13% повторного использования кода между Bad Rabbit и NotPetya.

https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/

safety

BadRabbit: пристальный взгляд на новую версию Petya / NotPetya

Petya/NotPetya (aka EternalPetya), made headlines in June, attacking users around the world. Today, we noted an outbreak of a similar-looking malware, called BadRabbit, probably prepared by the same authors. Just like the previous edition, BadRabbit has an infector allowing for lateral movements, using SMB to propagate laterally with a hardcoded list of usernames and passwords. However, unlike NotPetya, it doesn’t use EternalBlue and is more widely spread. (Impacted countries include Ukraine, Russia, Turkey, and Bulgaria).

Another key difference between Petya/NotPetya and BadRabbit is that the initial vector is different (a website dropping a fake Flash update). Also, some of its components have been replaced. The malware package is complex, and we will likely dedicate future articles to describing all its features. But let’s have an initial look.

Петя / NotPetya (aka EternalPetya), опубликованные в июне, атаковали пользователей по всему миру. Сегодня мы отметили вспышку аналогичного вида вредоносного ПО, названного BadRabbit, вероятно подготовленного теми же авторами. Как и в предыдущем издании, BadRabbit использует уязвимость, позволяющую перемещаться на другие компьютеры, используя SMB для распространения внутри сети с жестко запрограммированным списком имен пользователей и паролей. Однако, в отличие от NotPetya, он не использует EternalBlue и более широко распространен. (Страны с влиятельным воздействием включают Украину, Россию, Турцию и Болгарию).

Другое ключевое различие между Petya / NotPetya и BadRabbit заключается в том, что исходный вектор отличается (веб-сайт отбрасывает фальшивое обновление Flash). Кроме того, некоторые из его компонентов были заменены. Пакет вредоносных программ является сложным, и мы, вероятно, посвятим будущие статьи описанию всех его функций.

Analyzed samples

fbbdc39af1139aebba4da004475e8839 – the dropper (original dropped sample)
1d724f95c61f1055f0d02c2154bbccd3 – infpub.dat – the main DLL
b4e6d97dafd9224ed9a547d52c26ce02 – cscc.dat – legitimate driver used for the disk encryption (diskcryptor.net)
b14d8faf7f0cbcfad051cefe5f39645f – dispci.exe – installs the bootlocker, communicates with the driver

Поведенческий анализ

Dropper - это исполняемый файл, который притворяется обновлением Flash. Вредоносная программа должна запускаться с правами администратора, но не используется метод обхода UAC, он полагается исключительно на социальную инженерию, пытаясь убедить пользователя поднять ее. После запуска он удаляется и развертывает основной модуль в каталоге C: \ Windows. На этот раз он называется infpub.dat. (Мы можем видеть аналогию с предыдущей вспышкой NotPetya, где DLL была названа perfc.dat):

Он запускается через rundll32.exe с параметрами:

"C: \\ Windows \\ system32 \\ rundll32.exe C: \\ Windows \\ infpub.dat, # 1 15"

Обратите внимание, что вредоносное ПО проверяет компьютеры в локальной сети:

Мы предполагаем, что информация об обнаруженных машинах используется для боковых движений.
Вредоносная программа также устанавливает другие элементы в каталоге Windows: cscc.dat и dispci.exe

Установленное приложение запускается с помощью одной из запланированных задач.

Шифратор не изменяет расширения файлов. Маркер, указывающий, что файл был зашифрован, добавляется в конец содержимого файла - это текст в Юникоде: «% encrypted»

Вот записка о выкупе. Как и прежде, он находится в формате TXT с именем Readme.txt:

Сайт для жертвы

В прошлый раз авторы атаки пытались использовать одну учетную запись электронной почты для связи с жертвами. Конечно, это было ненадежным, так как вскоре они потеряли доступ к учетной записи. На этот раз, как и большинство авторов ремиксов, они создали веб-страницу на основе Tor. Авторы вкладывали больше усилий в работу пользователя, а на веб-сайте есть визуальные эффекты, в том числе заметка о выкупе, которая медленно появляется из яркого анимированного текста:

....
внутри

Это вредоносное ПО имеет несколько элементов. Выполнение начинается в PE-файле, который отвечает за удаление и установку других элементов.

Первый компонент-infpub.dat - аналогичен файлу perfc.dat, известному из атаки NotPetya. На этот раз DLL экспортирует две функции:

Эта DLL содержит инфектор, который распространяет вредоносное ПО на другие компьютеры в локальной сети. Среди других методов мы видим, что WMIC используется для развертывания модулей на удаленных компьютерах. Ответственный код похож на аналогичные элементы Petya / NotPetya:

This time, in addition to the credentials dumped with the help of the Mimikatz-based module, the sample tries to perform a dictionary attack and “guess” some of the passwords for remote logins. The list consists of commonly used passwords:

---

На этот раз, помимо учетных данных, сбрасываемых с помощью модуля на основе Mimikatz, образец пытается выполнить атаку по словарю и «угадать» некоторые пароли для удаленного входа в систему. Список состоит из обычно используемых паролей:

Вывод

Код имеет много перекрывающихся и аналогичных элементов кода Petya / NotPetya, что предполагает, что авторы, стоящие за атакой, одинаковы. Опять же, они пытались составить свой вредоносный пакет из украденных элементов, однако украденное ядро Petya было заменено более продвинутым дисковым криптером в виде законного драйвера. Похоже, авторы пытались улучшить предыдущие ошибки и закончить незавершенный бизнес. До сих пор кажется, что в текущем выпуске зашифрованные данные восстанавливаются после покупки ключа, что означает, что атака BadRabbit не столь разрушительна, как предыдущая. Однако вредоносное ПО является сложным, и его подробный анализ займет больше времени. Мы будем обновлять эту статью с последними результатами.

https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/

---

гостевой пост, написанный Hasherezade, независимым исследователем и программистом с большим интересом к InfoSec.

update:
UPDATE2: Kaspersky Lab has proven that this time having a valid password, the disk can be decrypted – in contrary to Petya/NotPetya it is not a destructive attack

Лаборатория Касперского доказала, что на этот раз, имея действительный пароль, диск можно расшифровать – в отличие от Petya/NotPetya, это не разрушительная атака

safety

Bad Rabbit Ransomware Outbreak Also Used NSA Exploit

Через два дня после того, как активность вредоносного ПО Bad Rabbit вызвала заражения в России и на Украине, исследователи безопасности по-прежнему раскрывают подробности относительно методов работы вредоносного ПО.

Первоначально считалось, что шифратор распространялся от первоначальной жертвы до ближайших компьютеров, используя специальный механизм сканирования, основанный на протоколе SMB, новое исследование, опубликованное сегодня Cisco Talos и F-Secure, показывает, что Rabbit также использовал модифицированную версию использование NSA для ускорения процесса распространения.

Это является третьим случаем в этом году, когда глобальная эпидемия шифраторов использовала кибер-оружие, разработанное NSA, и выложенное в сеть группой хакеров The Shadow Brokers.

WannaCry была первой волной вымогательства, которая использовала эксплойт ETERNALBLUE для перемещения внутри зараженных сетей еще в мае этого года.
Месяц спустя NotPetya развернул эксплойты ETERNALBLUE и ETERNALROMANCE для той же цели.

Эксперты находят код ETERNALROMANCE внутри Bad Rabbit

Когда Bad Rabbit попал на этой неделе, исследователи ожидали увидеть то же самое, но, к их удивлению, первоначальный анализ не нашел никаких инструментов NSA вообще.

В первых сообщениях говорится, что шифратор использовал Mimikatz для сброса паролей из памяти зараженного компьютера, которые он использовал вместе со списком жестко запрограммированных учетных данных для доступа к общим ресурсам SMB в одной сети.

В обновленном отчете «Bad Rabbit» Cisco Talos заявила сегодня, что они обнаружили доказательства использования ETERNALROMANCE, NSA, который также распространяется через SMB.

Then the malware propagates itself in the network, the technique to enumerate the network systems is exactly the same than Nyetya. It is performed by Microsoft Windows legitimate features, via:

SVCCTL: the remote service management
SMB2
SMB
NTLMSSP authentication brute force
WMI

And an exploit:

EternalRomance

Выводы Cisco также были подтверждены F-Secure.

Bad Rabbit doesn’t use EternalBlue/EternalRomance exploit
Bad Rabbit doesn’t use PsExec to spread
Bad Rabbit also encrypts “home user” files, such as .jpgs
Bad Rabbit adds “.encrypted” to the contents of affected files (NotPetya didn’t do this, making it harder to distinguish between encrypted and non-encrypted files)
Bad Rabbit’s infection vector is via compromised websites. While NotPetya was reported to be via MeDoc
Bad Rabbit brute-forces using a set of predefined credentials to available SMB shares

Кроме того, Cisco предоставила более подробную информацию, которая усиливает несколько отчетов, в которых говорится, что Bad Rabbit и NotPetya были созданы теми же авторами.

«Мы с большой уверенностью оцениваем, что BadRabbit построен на той же базовой кодовой базе, что и [NotPetya], - заявила сегодня команда Cisco, - и что цепочка инструментов построения для BadRabbit очень похожа на цепочку инструментов сборки для [NotPetya]».

https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-also-used-nsa-exploit/

Оценка возможности дешифрования

Наши данные свидетельствуют, что Bad rabbit, в отличие от ExPetr, не создавался как вайпер (о том, что создатели ExPetr технически не способны расшифровать MFT, зашифрованную с помощью GoldenEye, мы писали ранее). Алгоритм работы вредоносного ПО предполагает, что у злоумышленников, стоящих за Bad rabbit, есть необходимые средства для дешифровки.

Возможность восстановления файлов

Мы обнаружили, что Bad Rabbit не удаляет теневые копии файлов после их шифрования. Это означает, что если служба теневого копирования была включена до заражения и полное шифрование диска по какой-то причине не произошло, жертва может восстановить зашифрованные файлы, используя стандартные средства Windows или сторонние утилиты.

https://securelist.ru/bad-rabbit-ransomware/87771/

BadRabbit: технический отчет

https://www.group-ib.ru/blog/reportbadrabbit

Bad Rabbit Ransomware Spreads via Network, Hits Ukraine and Russia
(Figure 1: Bad Rabbit Infection Chain )



http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreads-via-network-hits-ukraine-russia/