Petya Petrwrap WannaCry

Petya or Petrwrap virus in uw systeem

We zien dat er gebruik gemaakt wordt van vergelijkbare exploit als waar de WannaCry aanval gebruik van maakt.
Wij hebben de oplossing

2Staff360 Vulnerability Scanning

 Het begin van de ransomware uitbraak op basis van de Petya exploit is te herleiden naar Rusland en Oekraïne. Hier heeft het zijn eerste slachtoffers gemaakt in de ochtend van 27 juni 2017. De slachtoffers zijn erg verspreid, maar het zijn vooral grote concerns tot zover, waaronder het olieconcern Rosneft, energieleverancier Ukrenergo uit Oekräine, vliegtuigbouwer Antonov en nu ook de container terminals van APM in de Rotterdamse haven. Om zo min mogelijk kwetsbaar te zijn tegen deze ransomware uitbraak vertellen wij u in dit artikel wat u zelf kunt doen om ransomware te voorkomen.Petya ransomware voorkomen met hulp van 2Staff Masters in Security Operations

Op dit moment is het nog te vroeg om te weten waar deze malware vandaan komt en wat de exacte gevaren zijn. Aan de combinatie van tot nu geziene exploits te zien is deze wel een stuk geavanceerder dan Wannacry. Zoals eerder varianten, hergebruikt de ransomware exploits die al in 2016 en eerder zijn gezien. Petya heeft immers onderdeel uitgemaakt van de Goldeneye Ransomware uit maart 2016.

Wat kunt u doen tegen ransomware?

Enkele acties die ICT-beheerders nu kunnen uitvoeren om zo goed mogelijk te beschermen tegen deze ransomware:
1.Zoek op de volgende Indicatoren van compromise op je fileserver of computer: ◾Order-20062017.doc; MD5 Hash 415FE69BF32634CA98FA07633F4118E1; SHA-1 Hash 101CC1CB56C407D5B9149F2C3B8523350D23BA84
◾myguy.xls; MD5 Hash 0487382A4DAF8EB9660F1C67E30F8B25; SHA-1 Hash 736752744122A0B5EE4B95DDAD634DD225DC0F73
◾BCA9D6.exe; MD5 Hash A1D5895F85751DFE67D19CCCB51B051A; SHA-1 Hash 9288FB8E96D419586FC8C595DD95353D48E8A060

2.Controleer uitgaand verkeer naar de IP-adressen 111.90.139.247 en 84.200.16.242 op poort 80. (PsExec dat word gebruikt voor laterale beweging)
3.Verifieer dat er recente back-ups zijn van je kritische systemen zijn, die niet verbonden zijn met het netwerk. Denk hierbij aan tapes, of off-site backups.
4.Zet SMBv1 uit om verspreiding via Eternalblue exploit.
5.Zorg dat systemen voorzien zijn van de laatste updates.
6.Is er een infectie geconstateerd, blokkeer dan de poorten TCP 1024-1035, 135, 139 en 445 op je netwerk. Het worm element van de malware gebruikt deze poorten om te verspreiden.

Evolutie van het Petya ransomware

Deze evolutie van de Petya ransomware maakt (mogelijk) gebruik van de volgende exploits:
◾Petya: Hier heeft de exploit zijn naam van gekregen. Wanneer de computer opnieuw opstart installeert deze exploit zich en doet het voor als een tool dat controleert op disk errors. Ondertussen lanceert hij helaas de onderstaande exploits en encrypt hij de Master Boot Record van de computer, en ook de bestanden op de harde schijf.

Hierdoor krijg je het bekende scherm. 

◾Eternalblue Exploit; Deze kennen wij natuurlijk van Wannacry en werkt via het SMBv1 protocol.
◾PsExec: Op deze manier kan het systemen infecteren via het netwerk. Deze tool is origineel gemaakt door het Sysinternal team van Microsoft als een lichtgewicht vervanging van het telnet protocol. Door een kwaadwillende actor kan dit dus ook misbruikt worden
◾Lokibot; Deze malware is in het verleden gebruikt om privé data te zoeken, en te versturen via het HTTP(port 80) protocol naar de Command & Control servers. Denk hierbij aan wachtwoorden, login credentials van web browers en lokaal opgeslagen cryptocurrency wallets(bitcoin).