Исходный код вируса петя

Обновлено: 18.04.2024

This gist was built by the community of the researchers and was scribed by Kir and Igor from the QIWI/Vulners. We are grateful for the help of all those who sent us the data, links and information. Together we can make this world a better place!

Recent news, blog posts and mentions

Helpful vaccine (not killswitch!)

Group Policy Preferences to deploy the NotPetya vaccine

Bitcoin wallet monitoring

Archive password: virus

Thanks to the @Sn0wFX_:

  • Modified EternalBlue exploit
  • A vulnerability in a third-party Ukrainian software product
  • A second SMB network exploit

Test local account behavior [NOT TESTED]:

Don't know if you have also noticed, but it only encrypted the MFT records for my test user account profile folders, the default Windows accounts Administrator, default user etc were all untouched, my test account was local so I don't know what behaviour would be expected for domain account profile folders.

100% on the sample used by me and on a standalone computer, user files were encrypted prior to reboot and the malware was not able to escalate privileges to deploy the MFT encryption payload, no instructions were deposited about recovering these files

Possible IP addresses:

Email forms and attachment:

Targeted extensions by @GasGeverij

Droppers sent via email by WhiteWolfCyber:

Fix suggest by @MrAdz350

Information about MBRFilter

theziggy01 commented Jun 27, 2017

@vulnersCom
I have tried running the binary on a win7 virtual machine but I get the "not a valid Win32 application" error.

jivoi commented Jun 27, 2017

threatinteltest commented Jun 27, 2017

That kill switch method only works on the WMI/PSExec. Not full proof.

root-locus commented Jun 27, 2017

Snort rules for detection by PT:

zuphzuph commented Jun 27, 2017

Nice collection you've got here. Thanks for sharing!

eua1024 commented Jun 27, 2017 •

KamalMajaiti commented Jun 27, 2017

The ransomware uses pass the hash techique for attack computers in same active directory or cloned machines.

mylesagnew commented Jun 28, 2017

beave commented Jun 28, 2017


Рекомендуем почитать:

Оригинальный вымогатель Petya, появившийся в 2016 году, был создан группировкой или хакером-одиночкой, известным как Janus Cybercrime Solutions — @JanusSecretary в Twitter. Напомню, что именно эту учетную запись злоумышленники использовали ранее, когда взломали конкурентов, разработавших шифровальщика Chimera, и опубликовали в открытом доступе ключи для дешифровки данных.

После эпидемии NotPetya, начавшейся 27 июня 2017 года, авторы оригинального вымогателя вновь проявили активность. Разработчики малвари сообщили, что они изучают код NotPetya и попробуют применить для зашифрованных файлов ключи от оригинального Petya. Еще тогда ИБ-специалисты предположили, что у авторов оригинального шифровальщика вряд ли что-то получится, так как NotPetya повреждает структуру диска умышленно, в частности шифрует MFT и удаляет ключ. После этого расшифровать полученный результат, скорее всего, не сможет уже никто.

Теперь Janus Cybercrime Solutions вновь заявили о себе. На этот раз злоумышленники опубликовали в открытом доступе, на Mega.nz, защищенный паролем архив с мастер-ключом для всех версий Petya: оригинального шифровальщика 2016 года; второй версии Petya, объединенной с вымогателем Mischa; и третьей версии, известной под именем GoldenEye.

Специалисты уже проверили публикацию и убедились, что ключ подлинный. Так, специалист Malwarebytes еще вчера сумела взломать защиту архива и опубликовала его содержимое:

Напомню, что ранее экспертам уже удавалось взломать шифрование оригинального Petya, но теперь, с мастер-ключом, инструменты для дешифровки должны работать быстрее и надежнее. Впрочем, учитывая, что вредоносная кампания оригинального Petya была запущена в 2016 году, сомнительно, что в настоящее время у многих пострадавших на руках по-прежнему есть нерасшифрованные данные или их копии.


Рекомендуем почитать:

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего WannaCry и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya


Petya образца 2016 года

Также сообщается, что вымогатель распространяется и посредством почтового спама, скрываясь внутри вредоносных документов Office и эксплуатируя уязвимость CVE-2017-0199.

Новая версия Petya шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.


Эксперты Positive Technologies, которые тоже представили анализ шифровальщика, пишут, что после запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа (по данным специалистов Group-IB, время "ожидания" составляет 30-40 минут). За это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и работоспособности ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы при этом не удастся.

Petya генерирует для каждого диска свой ключ AES-128, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA-2048 и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, то есть без знания ключа данные восстановить невозможно.

Исследователи Positive Technologies сообщают, что вымогатель, предположительно, шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности.

Также специалисты предупреждают, что шифровальщик использует переработанный опенсорсный инструмент Minikatz для извлечения учетных данных. С их помощью малварь распространяется внутри сетей посредством SMB, WMI и PSEXEC, то есть даже одной скомпрометированной машины во всей сети будет достаточно для дальнейшего распространения угрозы. Однако для использования данных инструментов вредоносу необходимо обладать привилегиями администратора на компьютере жертвы.

Petya или NotPetya?

Все чаще можно видеть, что ИБ-специалисты и СМИ называют шифровальщика не Petya, а NotPetya, SortaPetya, Petna, Nyetya, ExPetr. Дело в том, что изучив угрозу более детально, специалисты пришли к выводу, что в новом шифровальщике осталось не так уж много от оригинального Petya.

ИБ-специалист, известный под псевдонимом The Grugq, напротив полагает, что новая вариация Petya – это не обычный вымогатель, а "детище" правительственных хакеров.

В чем обвиняют компанию M.E.Doc?

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).





Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT Security, TrustedSec, Emsisoft и других крупных компаний.


Рекомендуем почитать:

27 июня 2017 года, спустя чуть больше месяца после атак WannaCry, мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года.

С нашим подробным обзором Petya и сложившейся вокруг него ситуации можно ознакомиться здесь. Напомню, что ранее сообщалось, что малварь шифрует не только файлы пользователя, но и MFT (Master File Table), перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.


Как новая версия Petya генерирует ID, показано на иллюстрациях ниже. Малварь использует для этого функцию CryptGenRandom, то есть генерирует случайную последовательность ничего не значащих символов. Такой ID не несет в себе ровным счетом никакой информации, создается лишь для отвода глаз и точно не поможет расшифровать файлы. Таким образом, платить выкуп бесполезно не только из-за того, что Posteo заблокировал почтовый ящик преступников.


В своем отчете Мэтью Сюиш сравнивает Petya с другим известным вайпером, Shamoon. Исследователь сообщает, что зашифрованные Petya диски практически невозможно восстановить. Сравнив Petya образца 2016 года с новой версией, эксперт не мог не заметить существенную разницу: новая версия намеренно уничтожает первые 25 секторов на диске. Первый сектор диска шифруется с помощью XORс 0x07, после чего сохраняется в другом секторе и заменяется кастомным загрузчиком. Но все 24 следующие за ним сектора перезаписываются намеренно и нигде не сохраняются.


Petya 2017 слева и Petya 2016 справа

Оригинальный Petya тоже производил похожие операции, однако он действительно мог обратить все сделанные изменения, тогда как новый Petya повреждает данные умышленно и гораздо серьезнее.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатели, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатели, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно: Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатели, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатели, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатели, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

пиздец не представляю что будет если они васю запустят.

Паста 2016 года, сайт пустой, что это говно вообще делает в горячем?

@moderator, пост не имеет отношения к нынешнему "вымогателю" и таким образом вводит людей в заблуждение. Что он тут делает в июне 2017 и чем помогает?

Ведь найдутся те кто, будут пытаться этим бредом пользоваться.

Прошу поставить тег 2016 год

От меня он точно ничего не получит. Мой комп дешевле стоит.

Petya блокирует компьютеры по всему миру и шифрует файлы.

Petya просит 300 биткоинов за разблокировку.

Не будь как Petya.

Статья про старую версию. Новый Петя вовсе не такой Вася, работает на базе дыры, через которую лезет WannaCry, и не факт что так легко разблокируется

Вот что шлют по корпоративной почте от одной антивирусной компании из 4 букв.

Специалисты **** изучают новую эпидемию трояна-шифратора. По предварительным оценкам, вредоносная программа относится к семейству Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan.

**** предполагают, что для проникновения шифратора в корпоративную сеть используется SMB-эксплойт, подобный EternalBlue, который стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Предположительно, эпидемия началась с украинских компаний. В настоящее время от шифратора пострадали около 80 российских и украинских организаций финансового и энергетического сектора и других отраслей.

Продукты **** детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.

И действительно, на виртуальную машину с установленным свежим антивирусом **** подсадили заразу (пришла одному из обслуживаемых клиентов по электронке, первая волна вируса именно через электронку пошла), после чего антивирус её спокойно сожрал, без всяких визгов, и только потом отрапортовал об угрозе.

Пробовали скачивать файл и запускать, пробовали через онлайн-документ открыть, издевались по-всякому. Жрёт. :)

Читайте также: