Nossa investigação está em andamento e nossas descobertas estão longe de serem definitivas neste momento. Apesar da especulação pública desenfreada, o seguinte é o que podemos confirmar com nossa análise independente:

Como o ransomware se espalhou?

Para capturar credenciais para divulgação, o ransomware usa ferramentas personalizadas, a la Mimikatz. Estes extraem credenciais do processo lsass.exe. Após a extração, as credenciais são passadas para ferramentas PsExec ou WMIC para distribuição dentro de uma rede. Outros vetores de infecção observados incluem:

• Um exploit EternalBlue modificado, também usado por WannaCry.

• O EternalRomance exploit - uma exploração remota de código executado visando sistemas Windows XP para Windows 2008 através da porta TCP 445 (Nota: corrigido com o MS17-010).

• Um ataque contra o mecanismo de atualização de um produto de software ucraniano de terceiros chamado MeDoc.

IMPORTANTE: um único sistema infectado na rede que possui credenciais administrativas é capaz de espalhar essa infecção para todos os outros computadores através do WMI ou PSEXEC.

O que o ransomware faz?

O malware aguarda 10-60 minutos após a infecção para reiniciar o sistema. A reinicialização é agendada usando as instalações do sistema com as ferramentas "at" ou "schtasks" e "shutdown.exe".

Uma vez que ele reinicia, ele começa a criptografar a tabela MFT em partições NTFS, substituindo o MBR por um carregador personalizado com uma nota de resgate. Mais detalhes sobre a nota de resgate abaixo.Pesquisa de rede

O malware enumera todos os adaptadores de rede, todos os nomes conhecidos do servidor via NetBIOS e também recupera a lista de concessões DHCP atuais, se disponível. Todos os IPs da rede local e cada servidor encontrado são verificados para as portas TCP abertas 445 e 139. Essas máquinas que possuem essas portas abertas são então atacadas com um dos métodos descritos acima.

Extração de senha

Os recursos 1 e 2 do malware binário contêm duas versões de uma ferramenta independente (32 bits e 64 bits) que tenta extrair logins e senhas de usuários conectados. A ferramenta é executada pelo binário principal. Todos os dados extraídos são transferidos de volta para o módulo principal através de um pipe nomeado com um nome aleatório GUID-like.

Decodificação de arquivo

Existe alguma esperança de decriptografar arquivos para vítimas já infectadas? Infelizmente, o ransomware usa um esquema de criptografia padrão e sólido, então isso parece improvável, a menos que tenha sido cometido um erro de implementação sutil. As especificações a seguir se aplicam ao mecanismo de criptografia:

·     Para todos os arquivos, uma chave AES-128 é gerada.

·     Esta chave AES é criptografada com a chave pública RSA-2048 dos atores de ameaça.

·     As chaves AES criptografadas são salvas em um arquivo README.

·     As chaves são geradas de forma segura.

Os criminosos por trás desse ataque estão pedindo US $ 300 em Bitcoins para entregar a chave que descriptografa os dados resgatados, pagáveis ??a uma conta Bitcoin unificada. Ao contrário de Wannacry, esta técnica funcionaria porque os atacantes pediam às vítimas que enviassem seus números de carteira por e-mail para "wowsmith123456@posteo.net", confirmando assim as transações. Nós já vimos relatórios, esta conta de e-mail já foi encerrada, efetivamente tornando impossível o descodificação da cadeia completa para as vítimas existentes.

No momento da redação, a carteira Bitcoin acumulou 24 transações totalizando 2,54 BTC ou menos de US $ 6,000 USD.

Aqui está a nossa lista de recomendações sobre como sobreviver a ataques de resgate:

·     Execute um conjunto anti-malware robusto com proteção anti-ransomware incorporada, como o System Watcher da Kaspersky Internet Security.

·     Certifique-se de atualizar o Microsoft Windows e todo o software de terceiros. É crucial aplicar o boletim MS17-010 imediatamente.

·     Não execute anexos abertos de fontes não confiáveis.

·     Faça backup de dados confidenciais no armazenamento externo e mantenha-o offline.

Para sysadmins, nossos produtos detectam as amostras usadas no ataque por esses veredictos:

·     Trojan-Ransom.Win32.PetrWrap.d

·     HEUR: Trojan-Ransom.Win32.PetrWrap.d

·     PDM: Trojan.Win32.Generic

·     UDS: DangerousObject.Multi.Generic

·     Intrusion.Win.MS17-010.e

COIs

71B6A493388E7D0B40C83CE903BC6B04
0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
E595c02185d8e12be347915865270cca
e285b6ce047015943e685e6638bd837e

Regras de Yara

rule ransomware_PetrWrap {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect PetrWrap ransomware samples"
last_modified = "2017-06-27"
author = "Kaspersky Lab"
hash = "71B6A493388E7D0B40C83CE903BC6B04"
version = "1.0"

strings:

$a1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu" fullword wide

$a2 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls" fullword wide
$a3 = "DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" fullword ascii
$a4 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword ascii
$a5 = "wowsmith123456@posteo.net." fullword wide

condition:

uint16(0) == 0x5A4D and
filesize < 1000000 and any of them }