PETYA.A RANSOMWARE ON A REAL PC! (download link)
Mục lục:
Petya Ransomware / Wiper đã tạo ra sự tàn phá ở châu Âu, và cái nhìn thoáng qua về nhiễm trùng lần đầu tiên được thấy ở Ukraine khi 12.500 máy đã bị xâm phạm. Phần tồi tệ nhất là các bệnh nhiễm trùng cũng lây lan sang Bỉ, Brazil, Ấn Độ và cả Hoa Kỳ. Petya có khả năng sâu sẽ cho phép nó lây lan ngang qua mạng. Microsoft đã đưa ra một hướng dẫn về cách nó sẽ xử lý Petya,
Petya Ransomware / Wiper
Sau khi lây lan của nhiễm trùng ban đầu, Microsoft bây giờ có bằng chứng cho thấy một số nhiễm trùng hoạt động của ransomware được quan sát đầu tiên từ Quá trình cập nhật MEDOC. Điều này đã làm cho nó trở thành một trường hợp rõ ràng về các cuộc tấn công chuỗi cung ứng phần mềm đã trở nên khá phổ biến với những kẻ tấn công vì nó cần một mức phòng thủ rất cao.
Hình ảnh bên dưới cho thấy quá trình Evit.exe từ MEDOC đã thực hiện lệnh sau đây như thế nào dòng, vector tương tự thú vị cũng đã được đề cập bởi Cảnh sát mạng Ukraine trong danh sách công khai các chỉ số về sự thỏa hiệp. Petya có khả năng
- Ăn cắp thông tin và sử dụng các phiên hoạt động
- Truyền tải các tập tin độc hại trên các máy bằng cách sử dụng các dịch vụ chia sẻ file
- Lợi dụng lỗ hổng SMB trong trường hợp máy chưa được vá. > Cơ chế chuyển động bên sử dụng hành vi trộm cắp thông tin xác thực và mạo danh xảy ra
Tất cả bắt đầu với Petya thả một công cụ bán phá giá thông tin xác thực và điều này có trong cả hai biến thể 32 bit và 64 bit. Vì người dùng thường đăng nhập bằng một số tài khoản cục bộ, nên luôn có khả năng một trong một phiên hoạt động sẽ được mở trên nhiều máy. Thông tin bị đánh cắp sẽ giúp Petya đạt được mức truy cập cơ bản.
Sau khi thực hiện xong, Petya quét mạng cục bộ để tìm các kết nối hợp lệ trên cổng tcp / 139 và tcp / 445. Sau đó, trong bước tiếp theo, nó gọi subnet và cho mỗi người dùng mạng con tcp / 139 và tcp / 445. Sau khi nhận được phản hồi, phần mềm độc hại sau đó sẽ sao chép nhị phân trên máy từ xa bằng cách sử dụng tính năng truyền tệp và thông tin đăng nhập trước đó đã quản lý để đánh cắp.
psexex.exe bị Ransomware thả xuống từ tài nguyên được nhúng. Trong bước tiếp theo, nó quét mạng cục bộ để chia sẻ $ admin và sau đó sao chép chính nó qua mạng. Ngoài việc phân tích phần mềm độc hại, phần mềm độc hại cũng cố lấy cắp thông tin đăng nhập của bạn bằng cách sử dụng chức năng CredEnumerateW để nhận tất cả thông tin đăng nhập người dùng khác từ cửa hàng ủy nhiệm.
Mã hóa
Phần mềm độc hại quyết định mã hóa hệ thống tùy thuộc vào cấp độ đặc quyền của quá trình phần mềm độc hại, và điều này được thực hiện bằng cách sử dụng một thuật toán băm dựa trên XOR để kiểm tra các giá trị băm và sử dụng nó như một loại trừ hành vi.
Trong bước tiếp theo, Ransomware ghi vào bản ghi khởi động chủ và sau đó đặt hãy khởi động lại hệ thống. Hơn nữa, nó cũng sử dụng chức năng nhiệm vụ theo lịch trình để tắt máy sau 10 phút. Bây giờ Petya sẽ hiển thị một thông báo lỗi giả theo sau là một tin nhắn Ransom thực tế như hình dưới đây.
Ransomware sau đó sẽ cố gắng mã hóa tất cả các tệp với các phần mở rộng khác nhau trên tất cả các ổ đĩa ngoại trừ C: Windows. Khóa AES được tạo ra cho mỗi ổ đĩa cố định, và điều này được xuất ra và sử dụng khóa công khai RSA 2048-bit được nhúng của kẻ tấn công, Microsoft cho biết.
Yahoo đã thử nghiệm một hệ thống giúp người dùng có thể thêm hàng triệu đô la để sử dụng hệ thống trí tuệ nhân tạo mới để tìm ra những tin tức mà độc giả của họ thích, một nhà nghiên cứu của công ty cho biết hôm thứ Năm. Nghiên cứu viên Deepak Agarwal của Yahoo là một phần của một nhóm gồm khoảng 10 nhà nghiên cứu đã trải qua vài tháng thử nghiệm xem các thuật toán tình báo nhân tạo của họ có thể giúp thúc đẩy hay không lưu lượng truy cập trang web trong mô-đun Hôm nay của Yahoo - một phần của t
Trong nội bộ, họ gọi hệ thống là Công cụ Kiến thức Tối ưu hoá Nội dung (COKE) và những chuyên viên làm việc trên Các nhà biên tập của Yahoo đã có những bản năng khá tốt về việc liệu một câu chuyện có nóng và thuyết phục những người phụ trách trang đầu để cho phép máy móc gọi điện thoại về việc đặt câu chuyện ban đầu là một thử thách, Agarwal, phát biểu tại các mô hình mới trong việc sử dụng hội nghị Máy tính tại cơ sở nghiên cứu Almaden của IBM. "Các biên tập viên đã làm điều này trong nhiều năm
Trạm làm việc Quad Core của Cerise là một trong những mẫu vật lý ấn tượng nhất đi qua Trung tâm Kiểm tra Thế giới Máy tính trong một thời gian dài. Tháp Silverstone TJ10 dài, cao, trường hợp Workstation được làm bằng kim loại chải chuốt và có nhiều tính năng mở rộng và làm mát hơn là bạn có thể bắt một thanh ở. Bí quyết tạo kiểu tóc duy nhất mà công ty bỏ qua là tìm bàn phím và chuột phù hợp với sơ đồ màu kim loại chải (cả hai thiết bị đầu vào đều là màu đen).
Phương pháp giảm nhiệt ấn tượng nhất trong kho của Cerise là đường hầm dẫn vào giữa của khung gầm. Air được kéo từ cả hai mặt của hộp bởi một quạt nội thất lớn để lưu thông trên bo mạch chủ Intel D975XBX2, bộ nhớ DDR2 tốc độ 800 MHz, CPU Intel Q6700 Core 2 Quad và card đồ họa. Nét mới nhất của tôi trong lĩnh vực này là tôi muốn luồng không khí tốt hơn một chút so với 5 ổ cứng 500GB Seagate ST3500320NS trong bộ phận lắp 6 chân của hệ thống. Chúng không chạy nóng đặc biệt, nhưng tôi rất kén chọn v
Samsung lên kế hoạch theo dõi netbook NC10 của mình trong quý tới với một chiếc máy tính mới trong phân khúc phát triển nhanh Samsung Electronics có kế hoạch theo dõi netbook NC10 trong vài tháng tới với một mô hình mới và mở rộng phạm vi của điện thoại thông minh với các mô hình dựa trên một số hệ điều hành khác nhau, nó cho biết hôm thứ Sáu. "Trong nửa đầu năm nay, đối với điện thoại màn hình cảm ứng, chúng tôi sẽ mở rộng dòng sản phẩm và nâng cấp một số chức năng bao gồm giao diện người
Samsung đã cung cấp điện thoại dựa trên hệ điều hành Windows Mobile, Symbian và Linux. thông báo từ công ty conc dựng một chiếc điện thoại dựa trên hệ điều hành Android do Google phát triển.