В Україні хакерська інформаційна атака чи звичайна необережність користувачів?
27.06.2017
275 7 хвилин читання
Вірус Petya A захопив Україну: як він працює і як захиститися від хакерської атаки
Сьогодні, 27 червня, вірус-шифрувальник Petya A захопив інформаційні мережі ряду великих українських компаній.
ЯК «ПЕТЯ» ПОТРАПЛЯЄ В КОМПЮТЕР
Основна мета вірусу – корпоративні користувачі: шифрувальник потрапляє на ПК за допомогою спаму, прикидаючись листом від кандидата на ту чи іншу посаду. Стандартний сценарій зараження виглядає так:
HR-фахівець отримує фальшивий лист з посиланням на Dropbox, по якій нібито можна перейти і завантажити «резюме». Ось тільки файл за посиланням є не безневинним текстовим документом, а архіви з розширенням .EXE.
Після того як користувач вирішується відкрити «резюме», перед ним виявляється не документ з інформацією про досвід роботи кандидата, а синій екран смерті. Це означає, що «Petya A» потрапив на ПК користувача і приступив по своїх чорним справах.
Користувач з правами адміністратора самостійно запускає програму, яка виконує певні дії. Через необережність або необізнаність.
На даний момент достовірно відомо, що вірусна атака на українські компанії виникла через програму “M.E.doc.” (програмне забезпечення для звітності та документообігу) – повідомляє Департамент кіберполіції Національної поліції України.
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.me-doc.com.ua” (92.60.184.55) за допомогою User Agent “medoc1001189”.
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг “пінгів” (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
– створено файл: rundll32.exe;
– звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
– запуск cmd.exe з наступною командою: /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST 14:35”;
– створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
– створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Як написав користувач Yuriy Romanenko вся ця вірусна атака ще одна ілюстрація, що велика частина нашої еліти населення як і раніше живуть в 19-му – в кращому випадку на початку 20-го століття. Цей вірус вже пів року, а то й більше, атакує інфраструктуру по всьому світу. У Британії була паралізована система охорони здоров’я. Які були зроблені висновки? Ніяких. Те що лежить за межами матеріального світу тобто те що не можна потримати в руках, понюхати – не існує для нашого населення і еліт. І тільки коли вірус раптом відрубує твій комп, тому що поліз відкривати якийсь стриманий файл, то цілий міністр починає волати в дусі: “Ой, як цікаво, а у нас ось така фігня? А у вас?”. А у нас в Міноборони на повному серйозі радять відключити на пару днів комп’ютери від інету, щоб не б нічого. Тобто, не відкривати всяку фігню з лівих адрес, а тупо відрубати комп від інету. Втім, які ще поради можуть дати фахівці яким платять кілька тисяч гривень. В принципі це добре відображає ще один елемент національної психології. Замість того, щоб вирішувати проблему, краще закрити очі в надії що все само собою …
Як захиститися від вірусу-вимагача
Регулярно робіть резервні копії всіх важливих файлів. Бажано, щоб у вас було два бекапа: один в хмарі, наприклад в Dropbox, Google Drive і інших спеціалізованих сервісах. А інший на змінному носії (знімний жорсткий диск, велика флешка, запасний ноутбук).
Для цього пристрою встановіть обмежені права доступу тільки на читання і запис, без можливостей видалення або перезапису. Резервні копії знадобляться вам і в інших випадках – якщо ви випадково видаліть важливий файл або при поломці основного жорсткого диска.
Злочинці часто створюють фальшиві листи, схожі на повідомлення від інтернет-магазинів або банків, щоб поширювати шкідливе ПЗ, – це називається «фішинг». Так що налаштуйте спам-фільтр в пошті і ніколи не відкривайте вкладення до листів, надісланих незнайомими людьми.
Не довіряйте нікому. Такий вірус можуть надіслати зі зламаного облікового запису вашого друга в Skype або «ВКонтакте», товариша по онлайн-ігор або навіть колеги з роботи.
Увімкніть функцію «Показувати розширення файлів» в настройках. Так вам буде легше розібратися, який файл є небезпечним. Трояни – це програми, значить, побоюватися потрібно в першу чергу підозрілих файлів з розширеннями «exe», «vbs» і «scr».
Регулярно встановлюйте оновлення для вашої ОС, браузера, антивіруса і іншого ПО. Злочинці використовують «діри» в програмному забезпеченні, щоб заразити пристрої користувачів.
Встановіть надійний антивірус, який вміє боротися з троянами-вимагачами.
Якщо вам здається, що ви виявили якийсь підозрілий процес, вимкніть комп’ютер від Інтернету. Якщо троян-здирник не встигне стерти ключ шифрування на вашому комп’ютері, то є шанс відновити файли.
Vlad Styran повідомляє про факти і спекуляції відомі на даний момент.
Маєте уточнення, семпли, сигнатури – буду вдячний. УВАГА: аналітика поки що в дорозі, на перевірку даних просто немає часу. Перевіряємо факти разом.
– Зараження
Початкова інфекція відбувається через фішингове повідомлення (є сигнали що вкладений файл називається Петя.apx, але це може бути відголоском старої рансомварі з цим ім’ям).
Поширення локальною мережею можливо відбувається через вразливості DoblePulsar та EternalBlue, аналогічно методам #WannaCry, або (тоді все зовсім сумно) через невідому 0-day вразливість.
– Відновлення через викуп
Є інформація з надійного джерела, що через три години після проплати в біткойнах на гаманець здирників – ключ відновлення не отримано. Не платіть.
– Антивіруси
Ефективність дій антивірусів поки що під питанням, тому сподіватися на них дуже сильно не треба
– Індикатори компрометації (IoC)
Результати аналізу семплів за допомогою Cisco ThreatGrid. Люб’язно надано компанією Cisco. http://bit.ly/2tgh3Ex
Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat
Хеші деяких семплів:
101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc
e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg
9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe
736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls
– Як зупинити зараження?
Для зупинки поширення хробака мережею, треба заблокувати на всіх комп’ютерах під керуванням Windows TCP-порти 1024-1035, 135, 139 и 445. Ось як це зробити в конолі Windows:
—
netsh advfirewall firewall add rule name=”Petya TCP” dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name=”Petya UDP” dir=in action=block protocol=UDP localport=1024-1035,135,139,445
Як вилікувати заражений комп’ютер
Служба безпеки України дослідила системи, що були атаковані вірусом і опублікувала перші рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача, який атакував українських користувачів (оновлюється).
У тому числі надаються рекомендації, що робити, якщо комп’ютер вже заражено. Хоча на даний час, зашифровані дані не піддаються розшифруванню, ці рекомендації дозволять відновити файли, які не постраждали від вірусу, зупинити розповсюдження вірусу у локальній мережі, а також максимально зберегти дані до того часу, як з’являться інструменти для повного відновлення інформації.
За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.
Вірус атакує комп’ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.
Рекомендації:
1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
4. Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:
– для Windows XP – http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
-для Windows Vista 64 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
5. Переконатися, що на всіх комп’ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
7. Зробити резервні копії усіх критично важливих даних.
Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.
Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.
Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.
Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair».
Інструкція https://help.ubuntu.com/community/Boot-Repair
Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).
Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.
Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.
Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній.
a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні “Артефакти для збору”.
c). У вкладці “Режим збору журналів Eset” встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть архів з журналами.
Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання
п. 3 для збору інформації, яка допоможе написати декодер,
п. 4 для лікування системи.
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду “parted -l” без лапок, параметр цього маленька буква “L” і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256” без лапок, замість “/dev/sda” використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп’ютер можна вимкнути.