पेट्या रांसोमवेयर / वाइपर यूरोप में विनाश बना रहा है, और संक्रमण की एक झलक पहली बार यूक्रेन में देखी गई थी जब 12,500 से अधिक मशीनों से समझौता किया गया था। सबसे बुरा हिस्सा यह था कि संक्रमण बेल्जियम, ब्राजील, भारत और संयुक्त राज्य अमेरिका में भी फैल गया था। पेट्या की कीड़े क्षमताएं हैं जो इसे बाद में नेटवर्क में फैलाने की अनुमति देगी। माइक्रोसॉफ्ट ने पेटिया से निपटने के तरीके पर एक दिशानिर्देश जारी किया है,
पेट्या रांसोमवेयर / वाइपर
शुरुआती संक्रमण के प्रसार के बाद, माइक्रोसॉफ्ट के पास अब सबूत हैं कि ransomware के कुछ सक्रिय संक्रमणों को पहली बार वैध मेडोक अपडेट प्रक्रिया से देखा गया था। इसने सॉफ्टवेयर सप्लाई चेन हमलों का स्पष्ट मामला बना दिया जो हमलावरों के साथ काफी आम हो गया है क्योंकि इसे बहुत उच्च स्तर की रक्षा की जरूरत है।
नीचे दी गई तस्वीर से पता चलता है कि एमईडीओसी से Evit.exe प्रक्रिया ने निम्न कमांड लाइन को कैसे निष्पादित किया है, समझौता के संकेतकों की सार्वजनिक सूची में यूक्रेन साइबर पुलिस द्वारा दिलचस्प समान वेक्टर का भी उल्लेख किया गया था। कहा जा रहा है कि पेट्या सक्षम है
- प्रमाण पत्र चोरी और सक्रिय सत्रों का उपयोग करना
- फाइल-शेयरिंग सेवाओं का उपयोग करके मशीनों पर दुर्भावनापूर्ण फ़ाइलों को स्थानांतरित करना
- अप्रयुक्त मशीनों के मामले में एसएमबी भेद्यता का दुरुपयोग।
क्रेडेंशियल चोरी और प्रतिरूपण का उपयोग करते हुए पार्श्व आंदोलन तंत्र होता है
यह पेटिया के साथ एक क्रेडेंशियल डंपिंग टूल छोड़ने से शुरू होता है, और यह 32-बिट और 64-बिट दोनों प्रकारों में आता है। चूंकि उपयोगकर्ता आमतौर पर कई स्थानीय खातों के साथ लॉग इन करते हैं, इसलिए हमेशा एक मौका होता है कि सक्रिय मशीनों में से एक कई मशीनों में खुल जाएगा। चोरी किए गए प्रमाण-पत्र पेट्या को बुनियादी स्तर तक पहुंच हासिल करने में मदद करेंगे।
एक बार पेट्या टीसीपी / 13 9 और टीसीपी / 445 बंदरगाहों पर वैध कनेक्शन के लिए स्थानीय नेटवर्क स्कैन करता है। फिर अगले चरण में, यह सबनेट को कॉल करता है और प्रत्येक सबनेट उपयोगकर्ताओं के लिए टीसीपी / 13 9 और टीसीपी / 445। प्रतिक्रिया प्राप्त करने के बाद, मैलवेयर फ़ाइल स्थानांतरण सुविधा का उपयोग करके रिमोट मशीन पर द्विआधारी की प्रतिलिपि बनायेगा और पहले से चोरी किए गए प्रमाण-पत्रों का उपयोग करके।
Psexex.exe को एक एम्बेडेड संसाधन से Ransomware द्वारा गिरा दिया गया है। अगले चरण में, यह स्थानीय नेटवर्क को व्यवस्थापक $ शेयरों के लिए स्कैन करता है और फिर नेटवर्क पर खुद को दोहराता है। क्रेडेंशियल डंपिंग के अलावा मैलवेयर भी क्रेडेंशियल स्टोर से अन्य सभी उपयोगकर्ता प्रमाण-पत्र प्राप्त करने के लिए CredEnumerateW फ़ंक्शन का उपयोग करके अपने प्रमाण-पत्रों को चुरा लेने का प्रयास करता है।
एन्क्रिप्शन
मैलवेयर मैलवेयर प्रक्रिया विशेषाधिकार स्तर के आधार पर सिस्टम को एन्क्रिप्ट करने का निर्णय लेता है, और यह एक एक्सओआर-आधारित हैशिंग एल्गोरिदम को नियोजित करके किया जाता है जो हैश मानों के खिलाफ जांच करता है और इसे व्यवहार बहिष्करण के रूप में उपयोग करता है।
अगले चरण में, Ransomware मास्टर बूट रिकॉर्ड को लिखता है और फिर सिस्टम को रीबूट करने के लिए सेट करता है। इसके अलावा, यह 10 मिनट के बाद मशीन को बंद करने के लिए निर्धारित कार्य कार्यक्षमता का भी उपयोग करता है। अब पेट्या एक नकली त्रुटि संदेश प्रदर्शित करता है जिसके बाद नीचे दिखाए गए वास्तविक रान्ससम संदेश के बाद।
