COME DIFENDERSI DAL PETYA RANSOMWARE

European Safety and Security Academy - Ransomware

La prima parte di quest’articolo fornisce delle semplici raccomandazioni per chi non è esperto in materia. A seguire, la parte tecnica rivolta agli addetti ai lavori.

Buana Lettura e state attenti alle mail.


Soluzioni & Raccomandazioni:

  • Creare il killswitch su questo ransomware creando un nuovo file con nome perfc.dat nella cartella C:Windows
  • Applicare le patch per la vulnerabilità MS17-010 SMB e seguire i seguenti consigli sui sottonotati link:
  • https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
  • https://support.microsoft.com/…/how-to-enable-and-disable-s…
  • https://blogs.technet.microsoft.com/…/customer-guidance-fo…/
  • https://technet.microsoft.com/…/lib…/security/ms17-010.aspx…

INOLTRE:

  • Avviare la scansione dei dischi locali e delle cartelle di rete condivise (anche con la regola Yara).

Se non vi è la presenza di minacce, comunque definire un piano di scansioni regolare e temporale.

  • Implementare il livello dei privilegi su ogni account (least privilege). Non fornire i diritti di Administrator tranne che in casi assolutamente necessari.

. Verificare i diritti di lettura/scrittura soprattutto per le cartelle di rete condivise o quelle in cui sono memorizzati file rilevanti o sensibili.

  • Disabilitare l’esecuzione automatica degli script e non aprire alcuna email se non certi del mittente.
  • Abilitare un filtro sui sistemi di controllo anti-spamming/phishing e applicare un controllo sulle email in ingresso utilizzando il Sender Policy Framework (SPF); il Domain Message Authentication Reporting and Conformance (DMARC) e il DomainKeys Identified Mail (DKIM).
  • Programmare a scadenza corta i backup da tenere in Recovery.
  • Contattare European Safety & Security Academy a seguire i corsi in Social Engineering.

COMUNICATO TECNICO

La diffusione in rete locale si ha con il protocollo Remote Desktop Protocol (RDP) sfruttando la vulnerabilità critica legata al Windows SMB vulnerability (MS17-010).

L’infezione utilizza i comandi WMI e PSExec come lateral movement per propagarsi su altri sistemi.

A oggi, il codice malevolo viaggia attraverso due campioni distinti su valore hash e sono:

SHA-256:

  1. 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  2. 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

Di seguito alcuni nomi associati ai file infetti:

  • • some ransomware.exe
  • • svhost.exe
  • • perfc.dat
  • • ran.exe
  • • Petyav2 – Maybe.bin
  • • petya.exe
  • • 027cc450ef5f8c5f653329641ec1fed9.exe
  • • petwrap.exe
  • • petrcrpt.exe
  • • 71b6a493388e7d0b40c83ce903bc6b04.bin
  • • 222068554
  • • samplespetya.exe
  • • PetyaWrap.dll

Le caratteristiche dei due campioni sono:

MD5: 71b6a493388e7d0b40c83ce903bc6b04

SHA-1: 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

SHA-256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

Imphash: 52dd60b5f3c9e2f17c2e303e8c8d4eab

Size: 353.9 KB (362360 bytes)

Type: Win32 DLL

Signing date: 11:52 PM 6/27/2017

Entry Point: 0x00007D39

Compilation timestamp: 2017-06-18 07:14:36

MD5: e285b6ce047015943e685e6638bd837e

SHA-1: 9717cfdc2d023812dbc84a941674eb23a2a8ef06

SHA-256: 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

Imphash: 52dd60b5f3c9e2f17c2e303e8c8d4eab

Size: 353.9 KB (362360 bytes)

Type: Win32 DLL

Signing date: 9:57 PM 6/27/2017

Entry Point: 0x00007D39

Compilation timestamp: 2017-06-18 03:13:01

I riscatti vengono richiesti con le seguenti formule provenienti dai i sottonotati indirizzi:

1) indirizzo esadecimale 1001AB26 000001FF :

“If you see this text, then your files are no longer accessible, because theyrn have been encrypted. Perhaps you are busy looking for a way to recover yourrn files, but don’t waste your time. Nobody can recover your files without ourrn decryption service.rnrn We guarantee that you can recover all your files safely and easily. All yourn need to do is submit the payment and purchase the decryption key.rnrn Please follow the instructions:rnrn 1. Send $300 worth of Bitcoin to following address:rn rn”

2) indirizzo esadecimale 1001AD2C 00000090

Bitcoin wallet ID: “rnrn 2. Send your Bitcoin wallet ID and personal installation key to e-mailrn wowsmith123456@posteo.net. Your personal installation key:rnrn”

3) indirizzo esadecimale 1000FF88 00000023

“1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX”.

I sistemi colpiti dall’infezione sono i sistemi Microsoft da Windows XP a Windows 2008 su cui è abilitato il servizio SMB sulla porta 445 e a cui non è stata precedentemente applicata la patch Microsoft MS17-010

Il ransomware, una volta presente su un nuovo sistema, elenca tutti gli adattatori di rete, tutti i nomi dei server conosciuti tramite NetBIOS e recupera, attraverso una scansione, gli indirizzi (se disponibili) DHCP forniti ai sistemi della rete locale.

Per ogni indirizzo IP della rete locale viene verificata lo stato delle porte TCP aperte 445 e 139 per accertare se queste sono aperte. Successivamente, le macchine su cui sono trovate le porte utilizzate dai protocolli vulnerabili sono attaccate con uno dei metodi descritti in precedenza o sfruttando le vulnerabilità CVE-2017-0144, CVE-2017-0199 (secondo la fonte Group IB) e i comandi Psexec e WMI.

Dopo che un sistema viene infettato, il malware modifica l’MBR e l’MFT sul computer e pianifica il suo riavvio. Una volta che il sistema si riavvia, appare all’utente un falso messaggio legato all’utility “chkdisk” e viene avviata la cifratura basata sull’algoritmo RSA a 2048-bit dei file di interesse del malware.

I file presenti sul disco che saranno cifrati dal ransomware sono tutti quelli con le seguenti estensioni:

3ds,7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work e xls.

Il commando Psexec è utilizzato per eseguire le seguenti istruzioni:

C:WINDOWSdllhost.dat \w.x.y.z -accepteula -s -d C:WindowsSystem32rundll32.exe C:Windowsperfc.dat,#1

Analogamente, il commando WMI è utilizzato per eseguire il seguente commando sulla base delle credenziali (precedentemente ‘catturate’ dal malware) dell’utente del sistema:

Wbemwmic.exe /node:”w.x.y.z” /user:”username” /password:”password” “process call create “C:WindowsSystem32rundll32.exe “C:Windowsperfc.dat” #1″

Infine, il malware cancella le tracce delle operazioni svolte eseguendo i seguenti comandi:

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

Dall’analisi effettuata si conferma la correttezza e si consiglia l’impiego della seguente regola Yara per l’individuazione del ransomware Petya-Based:

rule ransomware_PetrWrap {

meta:

copyright= “Kaspersky Lab”

description = “Rule to detect PetrWrap ransomware samples”

reference = “https://securelist.com/schroedingers-petya/78870/”

last_modified = “2017-06-27”

author = “Kaspersky Lab”

hash = “71B6A493388E7D0B40C83CE903BC6B04”

version = “1.0”

strings:

$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcqYLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgqCXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide

$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb. gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide

$a3 = “DESTROY ALL OF YOUR DATA PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii

$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii

$a5 = “wowsmith123456posteo.net.” fullword wide

condition:

uint16(0) == 0x5A4D and filesize < 1000000 and any of them }

Giuseppe Spadafora – Cyber Expert Certificato ISO 27001 SMC – Docente Formatore in Security Management KHC – Consulente Security Cyber and Physical M.G. Security S.r.l.  – Responsabile della Formazione Sicurezza C.I.D.E.C. – Direttore Corsi  E.S.S. Academy

Share this entry