PetrWrap zsaroló vírus


2017. március 16. 06:37

CH azonosító

CH-13924

Angol cím

PetrWrap ransomware

Felfedezés dátuma

2017.03.13.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A PetrWrap ransomware egy új Petya alapú zsaroló vírus.

Leírás

A C-ben írt és MS Visual Studioban fordított program több egy újabb variánsnál. Mivel a Petya-t használja a fájlok titkosítására, ami egy jól ismert ransomware, ezért a PetrWrap saját kriptográfiai rutint használ ennek elrejtésére. Ezt a folyamatot a készítők az OpenSSL-ből emelték át. Így a PetrWrap eléri, hogy az áldozat gépét lezárja és titkosítja az NTFS partíciókat. Mindenzt anélkül, hogy megjelenne a képernyőn a villogó koponya animáció, amiről a Petya ismert.

MD5:

17c25c8a7c141195ee887de905f33d7b – Trojan-Ransom.Win32.PetrWrap.b

UPDATE – 2017.06.27:
2017.06.27-én indult el a PetrWrap kampány, amely komoly károkat okozott Oroszországban, Ukrajnában és Európa több országában is. A kártevő a WannaCry-hoz hasonlóan az SMBv1 sérülékenységet (EternalBlue) használja ki, emellett e-mail-ben is terjed, ahol álláshirdetésre való jelentkezésnek álcázza magát. Az elemzések szerint a csatolmányként érkező XLS munkafüzet tartalmazza azt parancsot, amely letölti a zsarolóvírust a számítógépre. 

A számítógép újraindítása után nem engedi bootolni a Windows-t, a saját bootloader-ét tölti be helyette, amely mutatja a titkosított fájlrendszer dekódolásához szükséges instrukciókat.
A dekódoláshoz $300 értéknek megfelelő bitcoin fizetőeszközt várnak váltságdíjként.

A fertőzés elkerülésének érdekében javasolt  – amennyiben az még nem történt meg – a Windows SMB sérülékenységét befoltozó javítás telepítése, illetve az e-mail csatolmányokként érkező dokumentumokkal szembeni elővigyázatosság.

Megoldás

Készítsen offline biztonsági mentést. A visszafejtés nehézkes, mert erős titkosító algoritmust használ. A Kaspersky termékek képesek detektálni mint: Trojan-Ransom.Win32.PetrWrap és PDM:Trojan.Win32.Generic. 

Támadás típusa

Ransomware

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: securelist.com
Egyéb referencia: www.symantec.com
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »