CHKLST.RU

Petya/Misha/GoldenEye/another Ransomware

отредактировано 22 авг Раздел: Шифровирусы шумной толпою
Petya is different from the other popular ransomware these days. Instead of encrypting files one by one, it denies access to the full system by attacking low-level structures on the disk. This ransomware’s authors have not only created their own boot loader but also a tiny kernel, which is 32 sectors long.

Petya’s dropper writes the malicious code at the beginning of the disk. The affected system’s master boot record (MBR) is overwritten by the custom boot loader that loads a tiny malicious kernel. Then, this kernel proceeds with further encryption. Petya’s ransom note states that it encrypts the full disk, but this is not true. Instead, it encrypts the master file table (MFT) so that the file system is not readable.
blog.malwarebytes.org

Petya атакует преимущественно специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма направленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox.

Запуск этого exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты GDATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

xakep.ru

Другая плохая новость заключается в том, что установщик Petya использует специальную маскировку для сокрытия своей вредоносной активности. Так как для взаимодействия с диском на низком уровне вымогателю нужны расширенные привилегии, он с использованием своего фишингового значка предупреждает пользователя о необходимости активировать UAC, когда тот запросит у пользователя предоставление расширенных привилегий в системе. Антивирусные продукты ESET обнаруживает Petya как Win32/Diskcoder.Petya.

habrahabr.ru

Комментарии

  • отредактировано 22 авг PM
    похоже, найдено решение по Petya Ransomware!



    https://petya-pay-no-ransom.herokuapp.com/
    или
    https://petya-pay-no-ransom-mirror1.herokuapp.com/
    -------------
    Petya Ransomware's Encryption Defeated and Password Generator Released
    An individual going by the twitter handle leostone was able to create an algorithm that can generate the password used to decrypt a Petya encrypted computer. In my test this, this algorithm was able to generate my key in 7 seconds.
    http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

    проверил данное решение на VM. поскольку у меня был зашифрованный снэпшот на виртуальной машине. Для извлечения инфо из указанных секторов:

    Nonce 8-bytes:
    sector 54 [0x36] offset: 33 [0x21]
    Encrypted Verification Sector 512-bytes:
    sector 55 [0x37] offset: 0 [0x0]

    использовал утилиту PetyaExtractor, разработанную Fabian Wosar (Emsisoft)
    полученные данные были добавлены в web-генератор, разработанный leostone

    в течении 1 минуты ключ был вычислен:
    I hope this service is of some help to you. Ciao leostone ...


    KxdxmxpxjxqxQxkx score: 49 (lower is better)
    bxTxLxPxmxDxxxHx score: 48 (lower is better)
    2x4xLxLxGxwxXxux score: 47 (lower is better)
    2xbxLxLxGxwxXxux score: 46 (lower is better)
    2xbxLxLxGxwxXxWx score: 42 (lower is better)
    2xSxLxLxGxwxXxWx score: 40 (lower is better)
    2xbxLxLxGxAxXxWx score: 38 (lower is better)
    2xbxLxLxGxAxLxWx score: 37 (lower is better)
    2xbxLxDxGxAxXxWx score: 36 (lower is better)
    2xbxHxDxGxAxXxWx score: 35 (lower is better)
    2xSxxxpxGxAxXxWx score: 34 (lower is better)
    2xPxxxpxGxAxXxWx score: 30 (lower is better)
    2xUxxxpxGx4xXxWx score: 29 (lower is better)
    2xPxhxqxFxCxXxWx score: 28 (lower is better)
    2xRxhxqxFxCxXxWx score: 23 (lower is better)
    DxTx8xpxGx3xXxWx score: 22 (lower is better)
    3xTxxxQxgx3xxxWx score: 20 (lower is better)
    sxRx8xPxgx3xXx7x score: 18 (lower is better)
    sxTx8xPxgx3xXx7x score: 0 (lower is better)
    Your key is: sxTx8xPxgx3xXx7x
    Перезагрузил зашифрованный снэпшот, ввел указанный ключ, и запустил процесс расшифровки. После перезагрузки машины уже загрузился нормальный рабочий стол. :smile:
    -----------------
    еще один вариант:
    копируем из под загрузочного диска согласно методике восстановления ключа сектора 54 и 55 и сохраняем в файлы.
    Например с помощью DMDE
    DMDE - эффективная программа для поиска, редактирования и восстановления данных на дисках. Благодаря использованию специальных алгоритмов, DMDE может восстановить структуру директорий и файлы в некоторых сложных случаях, когда другие программы не дают нужный результат.

    Затем с помощью winhex выделяем нужные блоки: (блок из sec 55 копируем полностью, из сектора 54 выделяем 8 байт начиная с offset 33) и преобразуем полученные блоки с помощью сервиса Base64/coder/decoder:

    далее, добавляем закодированные в base64 блоки в веб-сервис генератора ключа.
    ------------------
    кстати, интересный комментарий по факту разработки дешифратора :)
    Less at stake on this one, but I had a friend in college whose father was a business owner. He was stuck with some database software that all his customer records were locked in; he wanted to migrate but had no way out other than copying them all over by hand. Up until one weekend when his daughter brought home her boyfriend, who dad had regarded as a dirty hippie up until then. Turns out dirty hippie was a pretty good hacker and in the course of a few hours, he wrote a program to export dad's database into a usable format.

    Moral: your significant other may not be impressed by your hacking skills, but you might win the family over for life in a few hours.
    https://news.ycombinator.com/item?id=11474613
  • отредактировано 21 авг PM
    при повторном шифровании исходного снэпшота ключ расшифровки вышел уже другой:
    8bytes sector54&base64
    g7hdR0gcHPs=
    sector 55&base54:
    /cc3N8+xNzfngjc30dM3N+25Nzfs/zc3sYQ3N6cPNzc3Mzc3N3c3N1NtNzdLpjc3NSs3N5VsNzfr
    ZDc33f03N/zHNzfPsTc357Y3N9GTNzftujc37P83N7GENzenDzc3NTU3Nzf3NzdSbTc3y6c3NzVr
    NzeVbDc362U3N939Nzf7xzc3z7E3N+e2NzfREzc3bX83N+3/NzexBDc3pw83NzMHNzc3dzc3Um03
    N8tmNzc16zc3lVQ3N+slNzfd/Tc3/cc3N0+9NzfntDc30dM3N216Nzfq/zc3sYQ3N6cPNzcxCTc3
    N7c3N1VtNzdLZTc3NSs3N5VUNzfrJTc33f03N/zHNzdPvzc357Y3N9HTNzdtejc36v83N7HENzen
    Dzc3PzU3Nze3NzdSbTc3S2Y3NzVrNzeVVDc3ayU3N939Nzf9xzc3T7A3N+dINzfRkzc37X83N+3/
    NzexhDc3pw83Nz05Nzc39zc3VG03N8tnNzc16zc3lVQ3N+snNzfd/Tc3/cc3N0+wNzfnSDc30RM3
    N22wNzft/zc3sQQ3N6cPNzc7Pzc3Nzc3N1VtNzfLpzc3Nas3N5VsNzfrZTc33f03N/vHNzfPvjc3
    5443N9ETNzdtvzc37f83N7GENzenDzc3OQc3Nzf3NzdUbTc3y6Y3NzVrNzeVbDc362Q3N939Nzc=
    Your key is: Bxnx9xsxDxGxWx4x

    интересно, что только Microsoft смог определить в MBR, снятый с зашифрованной Petja Ransomware системе вредоносный код:

    Microsoft Ransom:DOS/Petya.A 20160420

    virustotal.com

    ну, теперь и uVS будет определять:
    Полное имя MBR#0 [20.0GB]
    Имя файла MBR#0 [20.0GB]
    Тек. статус ?ВИРУС? ВИРУС загрузчик

    Статус ВИРУС
    Сигнатура Ransom:DOS/Petya.A [Microsoft][глубина совпадения 64(64), необх. минимум 64, максимум 64]

    www.virustotal.com Хэш НЕ найден на сервере.
    www.virustotal.com 2016-04-20 [2016-04-20 09:40:05 UTC (20 минут назад)]
    Microsoft Ransom:DOS/Petya.A

    Сохраненная информация на момент создания образа
    Статус загрузчик
    Размер 440 байт

    Доп. информация на момент обновления списка
    SHA1 3144007550B70B9ACAEDC44F6A34640F5359FD64
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
  • отредактировано 22 авг PM
    Petya is back and with a friend named Mischa Ransomware
    (Петя вернулся обратно вместе с другом по имени Миша РАнсомваре)

    Новая программа установки для Petja Ransomware, после запуска, если не в состоянии получить административные привилегии, (чтобы изменить загрузочную запись и вписать свой код в MBR), запускает шифратор Mischa Ransomware без привилегий администратора. Предыдущий установщик в подобном случае ничего не менял в системе. Новый установщик, если не получает администраторских прав, запускает шифратор, который шифрует документы и исполняемые файлы.
    ------------
    bleepingcomputer.com




  • отредактировано 15 авг PM
    поиск решения от hasherezade:
    https://hshrzd.wordpress.com/2016/04/20/anti-petya-live-cd-the-fastest-stage1-key-decoder/
    [02 June 2016]
    Procrash prepared a brutforcer for Green Petya key (using multi-threading and GPU for the high performance). Sourcecode available here: https://github.com/procrash/petya-green-multicore. Cracking the key takes about 3 days.
    [ 14 May 2016 ] new
    I added support for the new (green) version of Petya to the antipetya live CD – again the key can be recovered from Stage 1 – unfortunately, there is no solution for Sage 2 so far.

    [ 12 May 2016 ] new
    A new (green) version of Petya has been released – the current solutions no longer work.
    --------------
    была добавлена ​​поддержка нового (зеленого цвета) версии Пети к antipetya Live CD - снова ключ может быть извлечен из стадии 1 (предположительно, что после шифрования MFT на стадии 2 шифратор удаляет этот ключ, и восстановление уже возможно только методами перебора или взлома ключа).
    проверяем.
    ключ действительно получен после загрузки с antipetya live CD,

    однако расшифровка им не удалась, после того как было продолжено шифрование MFT на второй стадии.

  • отредактировано 13 мар PM
    добавим, что leostone выпустил утилиту hack-petya (под Win,Linux), которая позволяет получить ключ расшифровки к Petya Ransomware (red version) на рабочем столе, без использования внешнего сервера с веб-генератором.
    ---------
    утилиту hack-petya необходимо запускать из одного каталога, где лежат файлы nonce.txt, src.txt

    *** заметим, что если мы использовали здесь для получения nonce и src утилитку PETYAEXTRACTOR от F.Wosar, то результат необходимо предварительно декодировать из Base64.
    00000000 c9 f0 5a 08 9c 4d 64 a1 14 c4 dd c8 cc f7 e8 6f |..Z..Md........o|
    00000010 00 06 80 80 64 5a c2 5e 5a 07 a4 6f e2 5c ea ca |....dZ.^Z..o.\..|
    00000020 cb f0 5a 0d 9c 53 64 a1 14 c2 dd c8 cc f7 e8 6f |..Z..Sd........o|
    00000030 02 02 80 c0 62 5a c2 5d 5a 87 a4 6f 62 58 ea ca |....bZ.]Z..obX..|
    00000040 cb f0 da c8 9c 4f e4 e0 94 81 dc c8 cc b7 e8 51 |.....O.........Q|
    00000050 04 0c 80 80 64 5a c2 5e 5a 07 a4 6f e2 57 e9 ca |....dZ.^Z..o.W..|
    00000060 ca f0 5a 08 9c 53 64 e1 14 c2 dd c8 cc 77 e8 6f |..Z..Sd......w.o|
    00000070 06 0e 80 00 65 5a c2 5e 5a 87 a4 6f 62 5d ea ca |....eZ.^Z..ob]..|
    00000080 cc f0 da 08 9c 55 64 e1 14 c1 dd c8 cc f7 e8 6f |.....Ud........o|
    00000090 08 32 80 40 64 5a c2 5e 5a 87 a4 6f 62 5d ea ca |.2.@dZ.^Z..ob]..|
    000000a0 c9 f0 da c8 9c 4d e4 e0 14 83 dc c8 cc b7 e8 51 |.....M.........Q|
    000000b0 0a 38 80 80 65 5a 42 5d 5a 07 a4 6f 62 5d e9 ca |.8..eZB]Z..ob]..|
    000000c0 ca f0 5a c8 9c 49 e4 60 94 84 dc c8 cc f7 e8 51 |..Z..I.`.......Q|
    000000d0 0c 34 80 80 63 5a c2 5d 5a c7 a4 6f e2 57 e9 ca |.4..cZ.]Z..o.W..|
    000000e0 cc f0 da 08 9c 57 64 21 14 c4 dd c8 cc b7 e8 6f |.....Wd!.......o|
    000000f0 0e 0a 80 c0 65 5a c2 5d 5a 47 a4 6f e2 57 ea ca |....eZ.]ZG.o.W..|

    [61641 2138 19868 41316 50196 51421 63436 28648 1536 32896 23140 24258 1882 28580 23778 51946]
    Your key is: sxTx8xPxgx3xXx7x


    по второму примеру с red PR утилита так же успешно нашла ключ:
    00000000 ca f0 f8 86 d0 b5 e6 e4 da 8e db c8 86 b3 90 38 |...............8|
    00000010 00 04 00 40 64 5a 7c 91 02 1c a2 5b dc 53 ea ca |...@dZ|....[.S..|
    00000020 cb f0 f8 86 d0 81 e6 a4 da 8d db c8 86 b3 90 38 |...............8|
    00000030 02 02 00 c0 65 5a fc 90 02 5c a2 5b dc 52 ea ca |....eZ...\.[.R..|
    00000040 cc f0 f8 86 d0 81 e6 24 5a 48 da c8 86 33 90 38 |.......$ZH...3.8|
    00000050 04 30 00 40 65 5a fc 51 02 dc a2 63 dc 12 ea ca |.0.@eZ.Q...c....|
    00000060 ca f0 78 8a d0 83 e6 e4 5a 4d dd c8 86 b3 90 38 |..x.....ZM.....8|
    00000070 06 3e 00 80 62 5a 7c 52 02 1c a2 63 dc 12 ea ca |.>..bZ|R...c....|
    00000080 cb f0 78 88 d0 81 e6 e4 5a 4d dd c8 86 f3 90 38 |..x.....ZM.....8|
    00000090 08 02 00 80 65 5a 7c 51 02 5c a2 63 5c 12 ea ca |....eZ|Q.\.c\...|
    000000a0 ca f0 78 87 d0 7f e6 a4 da 48 da c8 86 b3 90 38 |..x......H.....8|
    000000b0 0a 0e 00 c0 63 5a fc 50 02 dc a2 63 dc 10 ea ca |....cZ.P...c....|
    000000c0 ca f0 78 87 d0 7f e6 24 5a 87 da c8 86 33 90 38 |..x....$Z....3.8|
    000000d0 0c 08 00 00 62 5a fc 90 02 9c a2 5b dc 52 ea ca |....bZ.....[.R..|
    000000e0 cc f0 f8 89 d0 b9 e6 24 5a 88 da c8 86 b3 90 38 |.......$Z......8|
    000000f0 0e 30 00 c0 63 5a fc 91 02 5c a2 5b dc 53 ea ca |.0..cZ...\.[.S..|

    [61642 34552 46544 58598 36570 51419 45958 14480 1024 16384 23140 37244 7170 23458 21468 51946]
    Your key is: Bxnx9xsxDxGxWx4x
    ---------------------


    будет ли она работать с green PR, надо проверить.
  • отредактировано Декабрь 2016 PM
    hasherezade утверждает что может помочь с расшифровкой Petya Green.
    We can help…

    If you spotted on your computer the same logo as on this homepage displaying a green skull you became a victim of the new released ransomware petya-mischa.
    Under those circumstances we are able to recover your valuable data.
    https://petyaransomwarehilfe.wordpress.com/victim-of-a-ransomware/
    -----------
    возможно платно, надо проверить.
    2. We’re even quicker if you…

    extract the required information from your encrypted harddrive for us with this provided tool (Petya Sector Extractor) and send the information via eMail to rd@irbd.eu…
    We come back to you as soon as we found the key.
    -------
    пока неудачно. PetyaDiskDump.exe вылетает после запуска из под Winpe10&uVS
  • отредактировано 22 авг PM
    wqqn9ud4unjk.jpg
    Разработчики Petya&Misha Ransomware исправили уязвимости в алгоритмах шифрования благодаря вниманию специалистов_криптологов и теперь предоставляют готовый сервис (Ransomware as a Service, or RaaS) для использования. Изначально был нацелен на немецких пользователей, возможно теперь получит более широкое распространение.
    Today, the Petya and Mischa Ransomware devs have made their Ransomware as a Service, or RaaS, open to the public. For the past few months, the Petya & Mischa RaaS has been been in testing with a limited amount of supposed high volume distributors. As of today, any would-be criminal can signup and become an official distributor. Unfortunately, this will most likely lead to a greater amount of distribution campaigns for this ransomware.

    bleepingcomputer.com
  • отредактировано 20 авг PM
    wqqn9ud4unjk.jpg
    Petya Ransomware вернулся с GoldenEye версией.
    The author of the Petya-Mischa ransomware combo has returned with a new version that uses the name GoldenEye Ransomware, continuing the malware's James Bond theme.

    Brought to our attention today by a Bleeping Computer user named gizmo21, this new "GoldenEye" ransomware is almost identical to past Petya and Mischa variants.

    skull-mbr.png

    eb2rm29xuqu4.jpg

    bleepingcomputer.com

  • отредактировано 20 авг PM
    wqqn9ud4unjk.jpg
    PetrWrap Ransomware Is a Petya Offspring Used in Targeted Attacks
    A heavily modified, but "unauthorized" version of the Petya ransomware has been seen by Kaspersky researchers used in targeted attacks on a small number of organizations.

    Named PetrWrap, this Petya offspring is part of the arsenal of a new threat actor that's hacking corporate networks and then using the Windows PsExec utility to install PetrWrap on vulnerable servers and endpoints.

    Исследователи из Лаборатории Касперского обнаружили сильно измененную, «неавторизованную» версию «вымогателя Пети», которая используется для целенаправленных атак на небольшое количество организаций.

    Названный PetrWrap, это детище Petja является частью арсенала нового распространителя угроз, который взламывает корпоративные сети, а затем использует утилиту Windows PsExec для установки PetrWrap на уязвимые серверы и конечные точки.

    petya-based_eng_3.png

    bleepingcomputer.com

    securelist.com

    id-ransomware.blogspot.ru
  • Petja Ransomware вернулся вместе с ETERNALBUE

  • отредактировано 27 сен PM
    New WannaCryptor-like ransomware attack hits Ukraine … may be global in scope
    By Editor posted 27 Jun 2017 - 05:07PM

    Numerous reports are coming out on social media about a new ransomware attack in Ukraine, which could be related to the Petya family, which is currently detected by ESET as Win32/Diskcoder.C Trojan. If it successfully infects the MBR, it will encrypt the whole drive itself. Otherwise, it encrypts all files, like Mischa.

    For spreading, it appears to be using a combination of the SMB exploit (EternalBlue) used by WannaCry for getting inside the network, then spreading through PsExec for spreading within the network.

    This dangerous combination may be the reason why this outbreak has spread globally and rapidly, even after the previous outbreaks have generated media headlines and hopefully most vulnerabilities have been patched. It only takes one unpatched computer to get inside the network, and the malware can get administrator rights and spread to other computers.
    В социальных сетях выходят многочисленные сообщения о новой атаке на выкуп в Украине, которая может быть связана с семейством Петя, которая в настоящее время обнаруживается ESET как Win32 / Diskcoder.C Trojan. Если он успешно заражает MBR, он зашифрует весь диск. В противном случае он шифрует все файлы, также как Mischa.

    Для распространения, похоже, используется комбинация эксплойта SMB (EternalBlue), используемого WannaCry для доступа в сеть, а затем распространения через PsExec для распространения в сети.

    Эта опасная комбинация может быть причиной того, что эта вспышка распространилась по всему миру и быстро, даже после того, как предыдущие вспышки вызвали заголовки СМИ и, надеюсь, большинство уязвимостей были исправлены. Для доступа в сеть требуется только один непропатченный компьютер, и вредоносное ПО может получать права администратора и распространяться на другие компьютеры.

    Update (June 28 – 15:00 CEST): ESET researchers have confirmed that further affected systems had access to Ukraine networks through VPN. Presently, it has not been seen in the malware a functionality to spread outside of the LAN network.

    Update (June 27 – 23.34 CEST): Shutting down the computer and not booting again could prevent the disk encryption, though several files can be already encrypted after the MBR is replaced and further infection through the network is attempted.

    Update (June 27 – 22.28 CEST): Paying is no longer possible as the email to send the Bitcoin wallet ID and “personal installation key” has been shut down by the provider. Thus, people shouldn’t pay for the ransom as they will not be able to receive the decryption key.

    Update (June 27 – 21.20 CEST): ESET researchers have located the point from which this global epidemic has all started. Attackers have successfully compromised the accounting software M.E.Doc, popular across various industries in Ukraine, including financial institutions. Several of them executed a trojanized update of M.E.Doc, which allowed attackers to launch the massive ransomware campaign today which spread across the whole country and the rest of the world. M.E.Doc has today released a warning on its website.
    Обновление (28 июня - 15:00 CEST): Исследователи ESET подтвердили, что дальнейшие затронутые системы имеют доступ к сетям Украины через VPN. В настоящее время во вредоносном ПО не было обнаружено функциональности распространения за пределами сети ЛВС.

    Обновление (27 июня - 23.34 CEST): выключение компьютера, а не загрузка снова может предотвратить шифрование диска, хотя несколько файлов могут быть уже зашифрованы после замены MBR и попытки дальнейшего заражения через сеть.

    Обновление (27 июня - 22.28 CEST): Платеж больше невозможен, поскольку адрес электронной почты для отправки идентификатора Биткойн-кошелька и «персональный ключ установки» был отключен провайдером. Таким образом, люди не должны платить за выкуп, так как они не смогут получить ключ дешифрования.

    Обновление (27 июня - 21.20 CEST): Исследователи ESET нашли точку, с которой началась эта глобальная эпидемия. Атакующие успешно скомпрометировали бухгалтерское программное обеспечение M.E.Doc, популярное в различных отраслях промышленности Украины, включая финансовые учреждения. Некоторые из них выполнили троянское обновление M.E.Doc, которое позволило злоумышленникам начать массовую кампанию по раскупольным методам, которая распространилась по всей стране и остальному миру. Сегодня M.E.Doc опубликовал предупреждение на своем веб-сайте.

    welivesecurity.com

    Крупные супермаркеты } {арькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):

    r5u21fdaun5a.jpg

    Украина подверглась самой крупной в истории кибератаке вирусом Petya
    27 июня 2017 года сообщения о заражении вымогательством начали распространяться по всей Европе. Мы видели первые инфекции в Украине, где угроза угрожала более 12 500 машин. Затем мы наблюдали инфекции в других 64 странах, включая Бельгию, Бразилию, Германию, Россию и Соединенные Штаты.

    Новая версия ransomware имеет возможности червя, которые позволяют ей перемещаться в поперечном направлении по зараженным сетям. Основываясь на нашем расследовании, этот новый выкупный код разделяет аналогичные коды и является новым вариантом Ransom: Win32 / Petya
    New ransomware, old techniques: Petya adds worm capabilities



  • отредактировано 28 июн PM
    Posteo, поставщик электронной почты, в котором автор Petya размещает почтовый ящик для обработки жертв из-за массового всплеска вымогательства, объявил, что он закрыл учетную запись электронной почты мошенника: wowsmith123456@posteo.net.

    Решение немецкого поставщика электронной почты является катастрофической новостью для жертв «Петя», поскольку они не смогут отправить письмо автору Петя в случае, если они захотят заплатить выкуп за восстановление конфиденциальных файлов, необходимых для неотложных вопросов.
    https://www.bleepingcomputer.com/news/security/email-provider-shuts-down-petya-inbox-preventing-victims-from-recovering-files/
    Сегодняшняя массовая вспышка вымогательства была вызвана вредоносным обновлением программного обеспечения для M.E.Doc, популярного программного обеспечения учета, используемого украинскими компаниями.

    Согласно источникам, таким как Cisco Talos, ESET, MalwareHunter, «Лаборатория Касперского», Полиция Украины и другие, неизвестный злоумышленник смог скомпрометировать механизм обновления программного обеспечения для серверов M.E.Doc и доставить вредоносное обновление для клиентов.

    Когда обновление дошло до клиентов M.E.Doc, зараженное программное обеспечение поставило Petya ransomware, также упоминаемое в Интернете как NotPetya, или Petna.
    https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/
    Первоначально исследователи полагали, что это новое вымогательство было новой версией более старой угрозы под названием «Петя», но позже выяснилось, что это был новый штамп вообще, который заимствовал какой-то код от Петя, отсюда причина, по которой они недавно начали его, назвав его NotPetya, Petna , Или, как нам нравится называть его SortaPetya.

    Анализируя внутреннюю работу ransomware, Серпер первым обнаружил, что NotPetya будет искать локальный файл и выйдет из своей процедуры шифрования, если этот файл уже существует на диске.

    Первые результаты исследования были позже подтверждены другими исследователями безопасности, такими как PT Security, TrustedSec и Emsisoft.

    Это означает, что жертвы могут создать этот файл на своих ПК, установить его только для чтения и заблокировать выполнение Ransomware NotPetya.


    Несмотря на то, что это предотвращает запуск вымогательства, этот метод скорее является вакцинацией, чем выключателем. Это связано с тем, что каждый компьютерный пользователь должен самостоятельно создать этот файл по сравнению с «переключателем», который разработчик Ransomware мог бы включить во всем мире, чтобы предотвратить все заразы ransomware.
    Как включить вакцину NotPetya / Petna / Petya

    Чтобы вакцинировать ваш компьютер, чтобы вы не могли заразиться текущим штаммом NotPetya / Petya / Petna (да, это именование раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте его только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг для вас.

    Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat
    @echo off
    REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
    REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
    REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
    
    echo Administrative permissions required. Detecting permissions...
    echo.
          
    net session >nul 2>&1
    
    if %errorLevel% == 0 (
       if exist C:\Windows\perfc (
          echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
          echo.
       ) else (
          echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
    
          attrib +R C:\Windows\perfc
                    attrib +R C:\Windows\perfc.dll
                    attrib +R C:\Windows\perfc.dat
    
          echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
          echo.
       )
    ) else (
       echo Failure: You must run this batch file as Administrator.
    )
      
    pause
    
    
    Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете использовать следующие шаги. Обратите внимание, что эти шаги создаются, чтобы сделать его максимально простым для тех, у кого мало опыта работы с компьютером. Для тех, у кого больше опыта, вы можете сделать это довольно много и, вероятно, лучше.
    https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
  • отредактировано 20 авг PM
    wqqn9ud4unjk.jpg
    Искупительная версия NotPetya, которая зашифровала и заблокировала тысячи компьютеров по всему миру вчера и сегодня, на самом деле является дисковым чистящим средством, предназначенным для саботажа и уничтожения компьютеров, а не для вымогательства. Это вывод двух отдельных отчетов от экспертов Comae Technologies и «Лаборатории Касперского».

    Эксперты говорят, что NotPetya (Another Petja) - также известный как Petya, Petna, ExPetr - работает как вымогательство, но подсказки, скрытые в его исходном коде, показывают, что пользователи никогда не смогут восстановить свои файлы.

    Это не имеет никакого отношения к тому факту, что немецкий поставщик электронной почты отключил учетную запись электронной почты оператора NotPetya. Даже если жертвы смогут связаться с автором NotPetya, у них все еще нет шансов восстановить свои файлы.

    Another Petja никогда не пытается генерировать действительный идентификатор заражения

    Это связано с тем, что Another Petja генерирует случайный идентификатор заражения для каждого компьютера. Выкуп, который не использует сервер управления и управления, например Another Petja, использует идентификатор заражения для хранения информации о каждой зараженной жертве и ключ дешифрования.

    Поскольку Another Petja генерирует случайные данные для этого конкретного идентификатора, процесс дешифрования невозможен, по словам эксперта Касперского Антона Иванова.

    «Что это значит? Ну, во-первых, это самые плохие новости для жертв - даже если они платят выкуп, они не вернут свои данные. Во-вторых, это подкрепляет теорию о том, что главная цель ExPetr: Нападение не было финансово мотивированным, но разрушительным », - сказал Иванов.

    Файл MFT не восстанавливается

    Открытие Kaspersky было также подкреплено отдельным докладом, опубликованным исследователем Comae Technologies Мэттом Суйче, который нашел совершенно другой недостаток, но пришел к такому же выводу.

    В своем отчете Suiche описывает ошибочную последовательность операций, из-за которой невозможно восстановить исходный MFT (файл главного дерева), который NotPetya шифрует. Этот файл обрабатывает расположение файлов на жестком диске, и если этот файл остается зашифрованным, нет никакого способа узнать, где каждый файл находится на зараженном компьютере.

    «[Оригинал] Петя модифицирует диск таким образом, что он действительно может отменить свои изменения. В то время как [NotPetya] делает постоянный и необратимый ущерб для диска», - сказал Суйче.
    ....
    Консенсус по NotPetya резко изменился за последние 24 часа, и не будет ошибкой сказать, что NotPetya находится на одном уровне с Stuxnet и BlackEnergy, двумя семействами вредоносных программ, которые используются в политических целях и для их разрушительных эффектов. Свидетельства ясно показывают, что NotPetya - это кибер-оружие, а не просто чрезмерно агрессивное вымогательство.

    bleepingcomputer.com
  • отредактировано 21 авг PM
    The author of the original Petya ransomware — a person/group going by the name of Janus Cybercrime Solutions — has released the master decryption key of all past Petya versions.

    This key can decrypt all ransomware families part of the Petya family except NotPetya, which isn't the work of Janus. This list includes:
    ⩥ First Petya ransomware version (flashed white skull on red background during boot-up screens)
    ⩥ Second Petya version that also included Mischa ransomware (flashed green skull on black background during boot-up screens)
    ⩥ Third Petya version, also known as GoldenEye ransomware (flashed yellow skull on black background during boot-up screens)
    Автор оригинального Petya ransomware - человек / группа по имени Janus Cybercrime Solutions - выпустил главный ключ дешифрования всех прошлых версий Petya.

    Этот ключ может расшифровать все семейства ransomware семейства Petya, кроме NotPetya, что не является работой Януса.
    Этот список включает:
    ⩥ Первая версия Петя (мигающий белый череп на красном фоне во время загрузочных экранов)
    ⩥ Вторая версия «Петя», которая также включала выкуп Mischa (мелькнувший зеленый череп на черном фоне во время загрузочных экранов)
    ⩥ Третья версия Petya, также известная как GoldenEye ransomware (мелькнула желтый череп на черном фоне во время загрузочных экранов)

    Подлинность ключа расшифровки Petya подтверждена

    Janus выпустил главный ключ в среду в твиттере, который связан с зашифрованным и защищенным паролем файлом, загруженным на Mega.nz.

    «Они прямо перед вами и могут открывать очень большие двери» https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog;)
    - JANUS (@JanusSecretary) 5 июля 2017 года

    Malwarebytes security researcher Hasherezade cracked the file yesterday and shared its content:
    Congratulations!
    Here is our secp192k1 privkey:
    38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
    We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the "Personal Code" which is BASE58 encoded.

    blog.malwarebytes.com

    Kaspersky Lab security researcher Anton Ivanov tested and confirmed the master key's validity.

    The published #Petya master key works for all versions including #GoldenEye pic.twitter.com/tTRLZ9kMnb
    — Anton Ivanov (@antonivanovm) July 6, 2017



    Этот ключ является приватным (серверным) ключом, используемым во время шифрования прошлых версий Petya. Дешифраторы могут быть построены с этим ключом. Раньше исследователи безопасности взломали шифрование Petya, по крайней мере, в двух случаях [1, 2], но с закрытым ключом в открытом файле decrypter будет восстанавливать файлы намного быстрее, чем ранее известные методы.

    К сожалению, этот ключ дешифрования не будет таким полезным, как многие думают.

    Большинство (оригинальных) кампаний Петя произошло в 2016 году, и в этом году было очень мало кампаний. Пользователи, у которых были заблокированные файлы, уничтожили диски или заплатили выкуп за несколько месяцев до этого. Ключ поможет только тем жертвам, которые клонировали свои диски и сохранили копию зашифрованных данных.

    Приватный ключ будет бесполезен для жертв NotPetya
    Этот ключ не поможет жертвам NotPetya/another, потому что вымогательство NotPetya было создано путем «пиратства» оригинального Petya Ransomware и изменения его поведения процессом, называемым patching. NotPetya использовал другую процедуру шифрования и, как оказалось, не имел никакого отношения к оригинальному Petya.

    В 2016 году Янус был очень активен в Twitter, продвигая портал Ransomware as-a-Service (RaaS), где другие мошенники могли арендовать доступ к компилятору Petya + Micha ransomware. Янус стал активным в 2017 году после долгого молчания, чтобы отрицать любую причастность к вспышке NotPetya.

    Hasherezade полагает, что Янус выпустил ключ расшифровки Пети в результате недавней вспышки NotPetya, и он, возможно, решил закрыть свою операцию.

    Janus - не первый автор / группа, занимающаяся вымогательством, который выпустил свой главный ключ дешифрования. Группа TeslaCrypt сделала то же самое весной 2016 года. В прошлом году Янус также взломал серверы конкурирующего автора Ransomware - Chimera ransomware - и сбросил ключи расшифровки.

    bleepingcomputer.com

    threatpost.ru
  • отредактировано 22 авг PM
    судя по сообщению, Hasherezade работает над дешифратором для прежних версий Petya с учетом полученного мастер-ключа.
    enter aes-256-cbc decryption password:
    Congratulations!

    Here is our secp192k1 privkey:

    38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

    We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the "Personal Code" which is BASE58 encoded.
    It seems that this is Janus' private key for all the previous Petyas. This key cannot help in case of EternalPetya, since, in this particular case, the Salsa keys are not encrypted with Janus' public key, but, instead of this, erased and lost forever. However, it can help to the people who were attacked by Petya/Goldeneye in the past. I will write a decryptor soon, stay tuned!

    github.com/hasherezade
  • отредактировано 22 авг PM
    продолжение от hasherezade:
    Posted: July 14, 2017 by Malwarebytes Labs

    Last June 27, there was a huge outbreak of a Petya-esque malware with WannaCry-style infector in the Ukraine.

    Since there is still confusion about how exactly this malware is linked to the original Petya, we have prepared this small guide on the background of the Petya family.

    blog.malwarebytes.com

    +
    A decoder for Petya victim keys, using the Janus' masterkey
    It supports:

    Red Petya
    Green Petya (both versions) + Mischa
    Goldeneye (bootlocker + files)

    github.com/hasherezade

    пока еще бета-версия:
    github.com/hasherezade
  • отредактировано 20 авг PM
    hasherezade выпустила загрузочный диск antipetya_ultimate v0.1

    mds1287noica.jpg

    но я пока не смог получить ключ для расшифровки своих снэпшотов: RED, GREEN, GOLDENEYE.
    хм,
    а это статью я кажется пропустил.
    (В переводе на русский это звучит как "До свидания, наш ласковый Петя/Миша.." на мотив известной песни в исполнении Льва Лещенко.)
    На основе выпущенного ключа мы подготовили дешифратор, способный разблокировать все законные версии Petya (подробнее об идентификации Petyas):

    Красный Петя
    Зеленый Петя (обе версии) + Миша
    Goldeneye (загрузочный файл + файлы)

    Если у вас есть резервная копия зашифрованного диска Petya, пришло время вытащить его с полки и сказать Petya до свидания
    blog.malwarebytes.com

    github.com/hasherezade


    antipetya_ultimate не помог,

    kewyfwhrc1lp.jpg

    а вот petya_key_v0.1_win32 вычисляет ключ, но предварительно необходимо получить файл с идентификатором, который указывает загрузчик.
    например:
    personal decryption code:
    37P3Wxt5xNVEtRiseSNCVFfzFwHuVu3bVZX1YXyT417NNodPPt8hf1sSwEqjMnribvKPTFV73yApKRRYsLu4WGse5Z
    

    добавлю, что personal decryption code можно определить в первых 0_63 секторах вашего диска.

    byyq29k6znez.jpg

    priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
    Victim file: id.ru
    Choose one of the supported variants:
    r - Red Petya
    g - Green Petya or Mischa
    d - Goldeneye
    [*] My petya is: ---
    [+] Your key : svTX8sPRgE3HXG7R
    ключ верный, и я смог расшифровать RED снэпшот.

    l51bt48t71tl.jpg
  • отредактировано 27 июл PM
    продолжаем:
    GREEN:

    personal decryption code:
    ddQu3AdbxWe393PgmgmZGS3cN2NjzZwzaxMdDtVtLZeTkX8gWDNyqFJpUr9JKRWRtJaKTGhpxsMvqR2zbGd1QyFk5g908fAA
    

    7jtaxvfl2g1i.jpg
    priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
    Victim file: id.ru
    Choose one of the supported variants:
    r - Red Petya
    g - Green Petya or Mischa
    d - Goldeneye
    [*] My petya is: ---
    [+] Your key : PssNrn6NBps4t3RQ

    n9igvubapc1a.jpg

    GOLDENEYE:

    personal decryption code:
    wvjJzMgomrHZKcJy6f8rSBnjnrKYnbh1CkxrYULp7Xe7kVZJfEZgChWM57BnkZP4APEaVLDZ22v43TjwBKjueYWYxJcGULgw
    

    97ii0vse5fvr.jpg
    priv: : 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
    Victim file: id.ru
    Choose one of the supported variants:
    r - Red Petya
    g - Green Petya or Mischa
    d - Goldeneye
    [*] My petya is: ---
    [+] Your key : 29b51db10bd22219a20b903dda2cb93b

    fgycimo7bi6z.jpg
  • отредактировано 20 авг PM
    +
    выпущено обновление для antipetya_ultimate и petya_key (v0.2):

    2zr34cw067qt.jpg

    github.com/hasherezade

    еще раз обновился antipetya_ultimate
    теперь можно автоматически получить personal decryption code с помощью загрузочного диска и вычислить ключ.
    для RED это работает.

    9rmvo0qdg3bz.jpg
  • отредактировано 21 авг PM
    +
    обновление статьи:

    Goldeneye Ransomware – the Petya/Mischa combo rebranded

    Posted: December 15, 2016 by Malwarebytes Labs
    Last updated: July 2, 2017
    From March 2016 we’ve observed the evolution of an interesting low-level ransomware, Petya – you can read about it here. The second version (green) Petya comes combined with another ransomware, packed in the same dropper – Mischa. The latter one was deployed as an alternative payload: in case if the dropper was run without administrator privileges and the low-level attack was impossible. This combo is slowly reaching its maturity – the authors fixed bugs that allowed for decryption of the two earliest versions. Now, we are facing an outbreak of the fourth version – this time under a new name – Goldeneye, and, appropriately, a new, golden theme.

    С марта 2016 года мы наблюдаем эволюцию интересного низкоуровневого ransomware, Petya - вы можете прочитать об этом здесь. Вторая версия (green) Petya сочетается с другим ransomware, упакованной в тот же самый установщик - Misha. Последняя была развернута как альтернативная полезная нагрузка: в случае, если установщик был запущен без прав администратора, а атака низкого уровня была невозможна. Это тандем медленно достигает своей зрелости - авторы исправили ошибки, которые позволили расшифровать две самые ранние версии. Теперь перед нами четвертая версия - на этот раз под новым именем - Goldeneye и, соответственно, новая, Golden тема.

    blog.malwarebytes.com
  • отредактировано 17 авг PM
    добавлю, что файлы, зашифрованные GREEN Misha/GOLDENEYE, так же могут быть расшифрованы оригинальным дешифратором.

    ib35ipvzn8iz.jpg

    сохраним id
    17MrHs5iUKh1y8HKUGQZpYtsEWwdzYBzkYU3DsVp5rKiotyEfDwemjEiy2QZXBYUkumJXvHyV7YWqaJzhqpzSVGsZ4908fA9
    
    в отдельный файл ID.TXT и вычислим пароль с помощью Petya_key
    Для продолжения нажмите любую клавишу . . .
    Choose one of the supported variants:
    r - Red Petya
    g - Green Petya or Mischa
    d - Goldeneye
    [*] My petya is: Victim file: save_id.txt
    [+] Victim ID: 17MrHs5iUKh1y8HKUGQZpYtsEWwdzYBzkYU3DsVp5rKiotyEfDwemjEiy2QZXBYUkumJXvHyV7YWqaJzhqpzSVGsZ4908fA9
    ---
    [+] Your key : oroHGuoncv9bC8DD

    далее, используем дешифратор mischa_decrypter, который указан в статье hasherezade по ссылке:
    3. Copy the obtained key. Download the original decryptor, appropriate for your version:

    For Mischa: https://drive.google.com/open?id=0Bzb5kQFOXkiSWUZ6dndxZkN1YlE
    For Goldeneye: https://drive.google.com/open?id=0Bzb5kQFOXkiSdTZkUUYxZ0xEeDg

    выбираем файлы для расшифровки,
    cmo25avaf9yc.jpg

    добавляем найденный ключ:
    avtwfrpzuh8h.jpg

    получаем расшифровку файлов.
    hoaxn0ffqu5u.jpg




  • отредактировано 20 авг PM
    mzqbcw5qbphw.jpg
    +
    GOLDENEYE:

    Ранее дроппер GREEN Petya (Petya / Mischa) использовался для запуска всплывающего окна UAC. Если пользователь согласился запустить образец в качестве Администратора, он / она подвергся нападению с помощью низкоуровневой полезной нагрузки: (аналог RED Petya). В противном случае будет развернут шифратор файлов Миша.

    В случае GOLDENEYE модель атаки отличается и больше похожа на случай Satana Ransomware.

    Во-первых, развертывается высокоуровневая атака и файлы зашифровываются один за другим. Затем вредоносное ПО пытается обойти UAC и самостоятельно повышать свои привилегии, чтобы сделать вторую атаку, на этот раз на низком уровне: аналог RED Petya. Обход работает тихо, если UAC установлен по умолчанию или ниже. В случаях, когда для UAC установлено значение max, появляется окно для разрешения запуска с максимальными привилегиями:

    blog.malwarebytes.com

    пример шифрования файлов:

    u2nnlsqy28ws.jpg

    сохраним id:
    v6vz7yvzfEZBwZyLf2PyfccbsbtHtN96hU8pgQpoSpqbrKjZZyRq1WJSLnSrSTMZZtr3uU65BojfU8FMou7ic428GXQWDHQX
    

    в отдельный файл save_ID.TXT и вычислим пароль с помощью Petya_key
    Для продолжения нажмите любую клавишу . . .
    Choose one of the supported variants:
    r - Red Petya
    g - Green Petya or Mischa
    d - Goldeneye
    [*] My petya is: Victim file: save_id.txt
    [+] Victim ID: v6vz7yvzfEZBwZyLf2PyfccbsbtHtN96hU8pgQpoSpqbrKjZZyRq1WJSLnSrSTMZZtr3uU65BojfU8FMou7ic428GXQWDHQX
    ---
    [+] Your key : 96c72a4161d7e4e08b96a6ccedecdd93

    далее, используем дешифратор golden_decrypter, который указан в статье hasherezade по ссылке выше:

    выбираем файлы для расшифровки.
    ufea83zyyrmv.jpg

    добавляем найденный ключ:
    r1woook9a0ib.jpg

    получаем расшифровку файлов.
    31volriql18s.jpg



Войдите или Зарегистрируйтесь чтобы комментировать.