Sobre la base de PetrWrap Petia ransomware Ataques Organizaciones
eliminan la amenaza

Sobre la base de PetrWrap Petia ransomware Ataques Organizaciones

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

los investigadores de Kaspersky Lab han descubierto una nueva familia ransomware desplegado en ataques dirigidos contra las organizaciones. Hay un par de cosas interesantes acerca de esta operación de la carga útil que es un poco diferente Petia ransomware los investigadores dobladas PetrWrap.

Resumen de amenazas

NombrePetrWrap
EscribeEl ransomware
Descripción breveSegún Kaspersky, PetrWrap está escrito en C y compilado en MS Visual Studio. Contiene una muestra de Petia ransomware v3, que es la carga útil de la operación.
Los síntomas archivos de las víctimas se cifran. Los criminales utilizan sus propias claves privadas y públicas.
Método de distribuciónLas organizaciones han sido víctimas de ataques dirigidos.
Herramienta de detección Ver si su sistema ha sido afectado por PetrWrap

Descargar

Herramienta de eliminación de software malintencionado

Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.
Experiencia de usuarioUnirse a nuestro foro para discutir PetrWrap.

actualización de junio 2017! Más información sobre el última variante Petia de ransomware – Petya.A / WannaCry – sabido utilizar el exploit EternalBlue desplegado en el brote WannaCry. Esta nueva variante está actualmente activo así que asegúrese de informarse sobre sus específicos.

Una vez en la red de una organización, los atacantes utilizaron la herramienta PsExec para instalar la carga útil ransomware - en todos los puntos finales y servidores. Pero no es el típico de carga útil Petia RaaS. PetrWrap tiene un módulo especial que "parchea el ransomware original, Petia sobre la marcha".

Relacionado: Bonds Mischa ransomware con Petia ransomware

PetrWrap ransomware: Resumen técnico

El informe de Kaspersky indica que el ransomware está escrito en C y compilado en MS Visual Studio. Contiene una muestra de Petia ransomware v3, que es la carga útil de toda la operación.

PetrWrap utiliza sus propias rutinas criptográficas y altera el código de Petia en tiempo de ejecución. Esto se hace de manera que la ejecución se controla y Petya se oculta durante el proceso de infección.

Después de ser puesto en marcha PetrWrap retrasa su ejecución (plazas de 5400 segundos = 1.5 horas). A continuación, se descifra el archivo DLL principal de Petia de su sección de datos y se dispone a llamar a sus ZuWQdweafdsg345312 función exportada. Esta función normalmente se prepara Petia para otras operaciones y se inicia el proceso de sobrescritura de MBR. PetrWrap, sin embargo, tiene que conectar un par de funciones de primera petya, por lo que sustituye a las instrucciones que llaman DllEntryPoint de Petia con NOP (hex bytes 0x90). Esto evita Petia de proceder por sí mismo y permite PetrWrap para hacer todos los cálculos y preparativos necesarios antes de dejarlo continuar.

PetrWrap criptografía

En una infección ransomware normales Petia el ransomware desplegaría una clave de 16 bytes y el sistema de cifrado para cifrar Salsa20 la MFT de las particiones NTFS en unidades locales. En el caso de PetrWrap, los criminales utilizan sus propias claves privadas y públicas. Como resultado, el ransomware utiliza los siguientes rutinas criptográficas, como explicado por investigadores de Kaspersky:

  • PetrWrap contiene una clave pública master_pub incrustado;
  • A cada paciente en concreto, el ransomware genera un nuevo par de claves de sesión ec_session_priv + ec_session_pub;
  • El ransomware calcula ecdh_shared_digest = SHA512(ECDH(master_pub, ec_session_priv));
  • Entonces es Intercepta 'la clave de salsa generada por Petia y lo cifra con ecdh_shared_digest;
  • Luego se construye user_id, una representación de cadena que contiene la clave de cifrado y la salsa ec_session_pub;
  • Finalmente, que pasa esta user_id a Petia, que lo utiliza como si se tratara de sus propios datos.

En una palabra, PetrWrap lleva a cabo la siguiente lista de actividades:

1. La máquina de la víctima está bloqueado y el MFT de particiones NTFS es encriptada segura (porque Petia v3 que se utiliza en este ataque no tiene defectos de las versiones anteriores e implementa correctamente Salsa20);
2. La pantalla de bloqueo no muestra la animación del cráneo de parpadear y no contiene ningún menciones de Petia que hace que sea más difícil de evaluar la situación y determinar el alcance de los daños causados;
3. Los desarrolladores de PetrWrap no tienen que escribir el código del gestor de arranque de bajo nivel y el riesgo de cometer errores similares a los observados en las versiones anteriores de Petia.

descifrado PetrWrap

Desafortunadamente, la fuerte encriptación utilizado por PetrWrap se interpone en el camino de cifrado. A medida que los investigadores de Kaspersky ponen, “una clave de descifrado está fuera de la cuestión”. Víctimas del ransomware son actualmente las organizaciones pero los individuos pueden destinarse también. Ransomware se sabe que no conocen fronteras. Si usted ha sido víctima de PetrWrap, usted podría intentar y restaurar sus archivos con soluciones de terceros, pero no hay garantía de que pudieran trabajar.

En el futuro, Siempre recuerde que debe mantener su sistema protegido y sus datos correctamente una copia de seguridad.

Descargar

Herramienta de eliminación de software malintencionado


Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

avatar

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...