Как устранить последствия вторжения криптора Petya.A?

27 июня работа многочисленных государственных и коммерческих структур Украины была парализована по причине активности новой модификации криптора-вымогателя Petya.A, получившей название GoldenEye. Глобальный центр разведки угроз безопасности Optiv сообщает, что данная модификация, как и WannaCry, использует для вторжения уязвимость SMB-протокола. Данная уязвимость известна под названием EternalBlue. Действие данного криптора схоже с действием известного вымогателя Petya. Он использует схожие тактики, техники и процедуры (TTP).

Скриншот зараженного компьютера

На текущий момент о поражении вирусом Petya.A сообщают следующие государства: Украина, Россия, Испания, Франция, Великобритания, США, Индия и прочие. Сумма, установленная вымогателями за разблокировку одного зараженного устройства, составляет $300 в биткоинах. По данным отчетов, среди пораженных отраслей финансовые услуги, розничная торговля, гостиничный сервис и пассажирские перевозки, а также энергетика и коммунальные службы.

Криптор-вымогатель Petya.A имеет много векторов распространения. К ним относятся: доставка файлов через e-mail, веб-ресурсы, сервисные службы Windows, сетевые протоколы. По всем признакам, данной атаке предшествовал длительный период подготовки. В частности, тщательно изучены модели поведения пользователей украинских организаций.

Глобальный центр разведки угроз безопасности Optiv с высокой уверенностью сообщает, что вредоносные атаки будут продолжаться в различных модификациях использовать уязвимость протокола SMB, по аналогии с вирусами WannaCry, EternalBlue и теперь Petya.A. Несмотря на то, что в апреле 2017 года Microsoft выпустил обновление MS17–010, устраняющую уязвимость SMB, по всему миру организации продолжают сообщать об успешных атаках вредоносного ПО.

Техническая справка

Заражение Криптором-вымогателем Petya.A происходит через документ Microsoft, содержащий вредоносный код и загружаемый в качестве исполняемого модуля (.exe). В работе Petya.A явственно прослеживаются два этапа:

На первом этапе файл с расширением .exe скачивается и запускается. После запуска он переписывает начало диска, включая основную загрузочную запись, и создает его зашифрованную копию (XOR). Первый этап заканчивается после перезагрузки зараженного устройства. Создать резервную копию данных с зараженного устройства до момента его перезагрузки достаточно легко, потому что модификации подвергается только начало диска.

Второй этап запускается после перезагрузки устройства и маскируется под работу утилиты CHKDSK. Его результатом является шифрование всего диска.

При помощи раннего анализа было выявлено, что если у пользователя нет прав администратора, вирус не распространится за пределы зараженного устройства. Вирус будет изолирован в локальной системе, делая шифрование возможным только после перезагрузки. Если не установлен патч MS17–010, вредоносное ПО распространится через протокол Microsoft Server Message Block (SMB). Если патч MS17–010 установлен и у пользователя есть права администратора, вредоносный код распространится через WMIC.

Рекомендации Глобального центра разведки угроз безопасности Optiv

Цель всех действий — не допустить перезагрузки системы после заражения.

  1. Создайте образ вашего диска для того, чтобы сохранить информацию. Следующее программное обеспечение подвержено атакам на SMB-уязвимости, равно как и другим инструментам, эксплуатирующим ее:

· Microsoft Windows Vista SP2

· Microsoft Windows Server 2008 SP2 and R2 SP1

· Microsoft Windows 7

· Microsoft Windows 8.1

· Microsoft Windows RT 8.1

· Microsoft Windows Server 2012 R2

· Microsoft Windows 10

· Microsoft Windows Server 2016

· Microsoft Windows XP

· Microsoft Windows Server 2003

MS17–010 — номер бюллетеня безопасности Microsoft, в котором содержатся необходимые патчи для SMB на серверах. Эти патчи необходимо применить:

· KB4012598

· KB4012215

· KB4012212

Petya использует CVE-2017–0199, поэтому необходимо применить:

· KB4015546

· KB4015549

Если патчинг невозможен, то усильте безопасность SMB доступными средствами и закройте 445 порт.

Ограничьте системные папки запуска исполняемого кода. Для примера, исполняемые файлы не должны запускаться из временного каталога системы. Поскольку у всех исполняемых файлов есть разрешения на запись во временный каталог, соответственно он часто используется вредоносным ПО для первичного исполнения после эксплуатации уязвимости.

Отслеживайте неавторизованное использование административных инструментов Windows. Современные APT часто используют нативные административные инструменты Windows, такие как PSExec, PowerShell, Windows Credential Editor (WCE) или альтернативные варианты, такие как Cygwin. Нативные инструменты часто разрешены и средства для обеспечения безопасности конечных точек не информируют об их использовании. Организациям, для которых использование этих инструментов не является критичным, крайне желательно добавить их в блеклист или добавить их в список нежелательного программного обеспечения.

Необходимо провести образовательные мероприятия для сотрудников вашей организации, на которых разъяснить, что атакующие за их счет будут стараться создать плацдарм внутри вашей ИТ среды. Помимо информирования об основных типах приманок, убедитесь, что ваши пользователи знают, как информировать о случаях фишинга департамент информационной безопасности Вашей компании.

Если, все же, перезагрузка и шифрование произошли. Рекомендации RMRF

1. Восстановление системы возможно в том случае, когда диск определяется неразмеченным (отсутствуют разделы). Для этого необходимо воспользоваться утилитой Disk Commander из набора MSDaRT, опция “Recover one or more lost volumes”. Также для этой процедуры можно воспользоваться утилитой TestDisk.

2. Восстановить возможность загрузки операционной системы можно путем восстановления MBR:

bootrec /rebuildbcd

bootrec /fixmbr

bootrec /fixboot

bootsect /nt60 SYS

bootsect /nt60 ALL

3. При повреждении MFT можно попробовать восстановить его с помощью chkdsk и TestDisk, при неудаче восстановить файлы на внешний носитель при помощи специального софта, например, FileRestore из MSDaRT или PhotoRec.

4. Рекомендуем воспользоваться утилитой MBR Filter (https://www.talosintelligence.com/mbrfilter). Данная утилита блокирует доступ для редактирования основной загрузочной записи диска.

При подготовке данной статьи были использованы материалы Optiv.