«Слово - не горобець, вилетить - не спіймаєш» або Як нейтралізація кіберзагроз вплине на життя пересічних українців

Департамент кіберполіції Національної поліції України повідомляє (оновлено)

7 лет назад 0

Ще раз про рекомендації

Після аналізу фактів зараження встановлено, що способи розповсюдження даного криптолокеру ідентичні тим, що використовувались WannaCry.

Такі світові антивірусні компанії як Avast, Eset та інші стверджують про те, що дане ШПЗ є модифікованою версією вірусу «Petya».

На теперішній час встановлено два основних способи ураження. Це «фішинг» та оновлення ПЗ «M.E.doc».
На даний момент неможливо розшифрувати файли, які були зашифровані даним ШПЗ. Кіберполіція спільно з провідними фахівцями у сфері кібербезпеки докладають максимальних зусиль для створення відповідного декриптора.

Для запобігання потрібно оновлюватися і відключити протокол SMBv1. Детальну інформацію та інструкцію, як це зробити, можна знайти на офіційному сайті компанії «Microsoft» за посиланням:

https://support.microsoft.com/uk-ua/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

Рекомендовано, за можливості, заблокувати на мережевому обладнанні або у настройках файерволу(брандмауеру) порти 137, 138, 139 та 445, які використовуються ШПЗ для розповсюдження у локальних мережах.

Також рекомендуємо встановити програмне забезпечення для захисту головного завантажувального запису (MBR) від внесення несанкціонованих змін. Наприклад «Mbrfilter», який можна завантажити за посиланням:

https://www.talosintelligence.com/mbrfilter

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму «M.E.doc.» (програмне забезпечення для звітності та документообігу)

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: «upd.me-doc.com.ua» (92.60.184.55) за допомогою User Agent «medoc1001189».

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг «пінгів» (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

— створено файл: rundll32.exe;
— звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
— створення файлу: perfc.bat;
— запуск cmd.exe з наступною командою: /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
— створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
— створення файлу: dllhost.dat.

В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі SMB (яка також використовувалась під час атак WannaCry).

Рекомендація:

— тимчасово не застосовувати оновлення, які пропонує програмне забезпечення «M.E.doc.» при запуску;

Інформація оновлюється!

Додаткова інформація!

Виходячи з аналізу завантажувальної частини вірусу, можна з високим ступенем вірогідності стверджувати, що це нова модифікація трояна «Petya».

Під час аналізу встановлені схожі ділянки коду, використовується той же алгоритм криптування — Salsa20 з модифікованим розширенням ключа. В першій версії «Petya» — це «expand 32 — byte k», в новій версії » — 1invalid s3ct — id». Унікальний 8-ми байтовий номер для Salsa (nonce), зберігається в секторі 32 (у старому — 55м). По зміщенню 0x21.

Перший байт 32-го сектора використовується як флаг при завантаженні — при 0 — відбувається шифрування MFT, при 1 — вивід повідомлення про оплату. Закриптований MBR зберігається в сектор 34. Криптування — xor з ключом 0x7.

Депаратмент кіберполіції звертається до всіх спеціалістів, які у складний для країни час не можуть бути осторонь від наслідків кібератаки, прийняти участь у розробці спільно з нашими фахівцями програми підбору паролей (volunteer@cyberpolice.gov.ua).