28.06.2017  Новости, Безопасность, Государство и ИТ, Финансы, страхование, недвижимость

В Интернете новая эпидемия — новособранные вирусы-шифровальщики «Петя» (Petya) и «Миша» (Misha), распространившиеся уже по десяткам крупных компаний по всему миру. Модель распространения отчасти аналогична WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения, которое эксплуатирует уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник: через интерфейс WMI, через копию программы PsExec, через уязвимость в SMB (CVE-2017-0144, MS17-010). Компания Microsoft опубликовала подробное описание, как вредоносное ПО получает дамп паролей и использует их для подключения к административным сетевым папкам для удаленной установки ПО. Заражение по вектору SMB идет с использованием уязвимости CVE-2017-0144 аналогично технике, использованной в WannaCry. А вот модель шифрования существенно изменилась. «Петя», проникая на компьютер с использованием эксплойта, заражает MBR (главная загрузочная запись) системы. А дальше в систему загружается «Миша», который шифрует файлы на диске, и требует выкуп в размере $300 за один компьютер. Так же есть модификации, когда «Петя» и «Миша» работают независимо друг от друга, в зависимости от наличия привилегий администратора системы. Есть сообщения о том, то встречалась также модель распространения, использующая ... читать далее.