Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины

-, Ransomware, .



27 2017 . , , , :







2016 - Petya.A/Petya.C. Petya.C :





, ( Order-20062017.doc ( ), myguy.xls ), 84.200.16[.]242, Myguy.xls :\. :





$300 Bitcoin 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. 23:30 3.277 BTC ( 31 ), ( 1 BTC $2409) $7894.



?



( ) — 27.06.2017 20:00 ( Petya.C 19). -:





:





Petya.C C:\Windows\perfc.dll .



:





?



, , .

/ :





, Petya, . Petya Github. Petya.C .





PsExecは - ネットワークの普及の間、容疑者のMicrosoft Windows Sysinternalsのさまざまなツールを使用していました。



そこPsExecはの使用を検出するためにSIGMA-ルール、それは自動的にリクエストのSplunkとElasticSearchに変換することができます。



タイトル:宛先ホスト上のPsExecはツールの実行

状態:実験

説明:検出しPsExecはサービスのインストールと実行イベント(サービスおよびSYSMON)

著者:トーマスPatzke

参照: www.jpcert.or.jp/english/pub/sr/ir_research.html

LOGSOURCE:

製品:窓

検出:

service_installation:

イベントID:7045

ServiceNameは: 'PSEXESVC'

ServiceFileName: '* \ PSEXESVC.exe'

service_execution:

イベントID:7036

ServiceNameは: 'PSEXESVC'

sysmon_processcreation:

イベントID:1

画像: '* \ PSEXESVC.exe'

ユーザー: 'NT AUTHORITY \ SYSTEM'

条件:service_installationまたはservice_executionまたはsysmon_processcreation

falsepositives:

- 不明

レベル:低


再び流行?



ウイルスの普及の理由は、この種の標的型攻撃から保護するために必要な措置の失敗です。





あなたは私たちが前回の記事で言われる技術的手段の複合体を実行するよう組織的措置は、標的型攻撃と法外なソフトウェアからの信頼性の高い、効果的な保護を提供することはできません。



著者:Evgeniy Borodulin、同社のチーフアーキテクト「INFOSEC」

e.borodulin@infosec.ru



All Articles