Pentest Detections. WannaCry, Petya

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 316
Всем привет! Наверняка, многие из вас слышали о новой волне распространения вирусов – вымогателей, такого как Petya например.

Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением семейств ОС Microsoft Windows. Первые разновидности вируса были обнаружены еще в марте 2016 года.

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки ОС. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT таблицу — базу данных с информацией о всех файлах, хранящихся на диске.

upload_2017-6-28_22-54-4.png


На Github, у пользователя Positive Research появилось решение позволяющее обнаружить потенциально уязвимые места в вашей системе, а так же присутствие зловреда.

Скачиваем Pentest-Detections со страницы автора на Github:

> https://github.com/ptresearch/Pentest-Detections

Распаковываем:

upload_2017-6-28_22-54-32.png


И запускаем из командной строки, указав необходимые параметры:

upload_2017-6-28_22-54-48.png


Доступные опции:

Vulnerability scanner for MS17-010.

IPv4, IPv6 compatible.


Requirement: WinPcap 4.1.3 https://www.winpcap.org/install/default.htm

Usage: WannaCry_Petya_FastDetect [-h] [-noARP] [-a6]

[-f file-name]

[-t6 single-IPv6]

[-t4 single-IPv4 / range-of-IPv4 / netmask]

[-n number-of-threads]


'-h' --- Help.

'-a6' --- Auto mode. Scanning only IPv6 network addresses (in this case is used ICMPv6 Multicast Echo Request).

'-f' --- File mode. Use input file with IPv4 and IPv6 addresses written in a column.

'-t6' --- IPv6 mode. Use only single IPv6 address. Examples: fe80::fdba:4364:7f82:a4cd

'-t4' --- IPv4 mode. Examples: 192.168.0.123 or 10.0.123.0/24 or 192.168.0.1-192.168.0.50.

'-n' --- Number of threads for vuln detect scanning. Optional. Default: 3.

'-noARP' --- Do not use ARP scanning for local network. Optional.


Example:

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1 -n 1

WannaCry_Petya_FastDetect.exe -t4 192.168.0.0/24 -n 8

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1-192.168.0.50

WannaCry_Petya_FastDetect.exe -t6 fe80::fdba:4364:7f82:a4cd

WannaCry_Petya_FastDetect.exe -a6

WannaCry_Petya_FastDetect.exe -f C:\Work\IpListSeparetedWithNewLine.txt

Надеюсь, кому-то окажется полезным. Спасибо за внимание.
 

Ondrik8

prodigy
Green Team
08.11.2016
1 132
3 173
Украинские единомышленники жгут!
 
C

Catharsis

Как раз вчера в википедии писал статью об этом вирусе.
 
  • Нравится
Реакции: Vertigo

itsecstig

Green Team
09.01.2017
78
89
Уже есть разъяснение что петя не вымогатель, а вайпер.
 
C

Catharsis

Уже есть разъяснение что петя не вымогатель, а вайпер.
Да, друг мой, я с Вами согласен, т.к. после изучения кода вируса, было выяснено, что целью является не нажива денег — нет, а нанесение ущерба (чем серьёзней — тем лучше) украинскому правительству (впрочем, ничего удивительного). К тому же, на самом деле, область кода, отвечающая за вымогательства вовсе бесполезна (как же иначе, если этот момент не продумали, видимо и не собирались продумывать. "Пихнули" на скорую руку и склеили под Ransomware).
 
  • Нравится
Реакции: itsecstig

virKiller99

One Level
15.09.2017
4
4
Уважаемые форумчане!

Нет-ли у кого "рабочей" версии неПети и/или WannaCry?

Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают. :(
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают. :)

Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.

Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?

Подскажите пожалуйста.
 
D

Dmitry88

Присоединяюсь к вопросу выше. Есть "небоевые" версии для тестирования? Даже пусть без шифровки. А то без пугающих картинок до людей не доходят постулаты "не качать что попало и не посещать джой казино666".
 

virKiller99

One Level
15.09.2017
4
4
"почти небоевая" WannaCry (т.е. шифрует, но не расползается по сети) на всех зоопарках лежит, у нее размер распакованный должен быть не менее 3,5 МБ
а notPetya который только меняет MBR и это легко лечится Bootrec.exe /FixMbr на hybrid-analysis.com есть, с именем
pet1.exe
 

aza811

Green Team
14.08.2017
20
11
Уважаемые форумчане!

Нет-ли у кого "рабочей" версии неПети и/или WannaCry?

Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают. :(
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают. :)

Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.

Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?

Подскажите пожалуйста.
Нашел давно,если тема актуальна глянь,это для линукса
https://github.com/tarcisio-marinho/GonnaCry

Шифрует файлы пользователя с AES-256-CBC.
Шифрует все устройства, подключенных к машине, таких как: USB / Внешние HD.
Случайный ключ AES для каждой новой инфекции.
Работает, даже если компьютер не подключен к Интернету.
Связь с сервером для получения Сервера-секретного ключа.
Криптографический ключ AES с открытым ключом RSA-1024 клиента.
Криптографический клиент-закрытый ключ с открытым сервером RSA-1024.
Изменяет обои для компьютера.
Графический Расшифровщик.
Программа полная.
[doublepost=1507549888,1507534986][/doublepost]эта ссылка для Win,проверил на виртуалке прикольно
https://github.com/mauri870/ransomware
для ознакомления потянет
 
  • Нравится
Реакции: Dmitry88
Мы в соцсетях: