NotPetya Ransomware IOCs

ransomware IOC

NotPetya сочетает в себе вымогательское ПО со способностью распространяться по сети. Она распространяется на машины Microsoft Windows с помощью нескольких методов распространения, включая эксплойт EternalBlue для уязвимости CVE-2017-0144 в службе SMB. Это та самая уязвимость, о которой Microsoft сообщила в MS17-010 и которая была успешно использована в недавней вспышке рандомного ПО WannaCry.

После заражения компьютера вирусом NotPetya происходит ряд вредоносных действий, включая следующие:

  1. хэширование процессов и проверка привилегий процессов
  2. кража учетных данных
  3. выдача себя за пользователя
  4. Распространение вредоносного ПО
  5. Перечисление сетевых узлов
  6. Копирование SMB и удаленное выполнение
  7. Эксплуатация SMBv1 через EternalBlue
  8. UNC-запись вредоносной программы в admin$ на удаленной цели
  9. Удаленное выполнение вредоносного ПО
  10. MBR ransomware
  11. Шифрование MFT
  12. Шифрование файлов
  13. Выключение системы

Indicators of Compromise

MD5

  • 2813d34f6197eb4df42c886ec7f234a1
  • 71b6a493388e7d0b40c83ce903bc6b04
  • 7e37ab34ecdcc3e77e24522ddfd4852d
  • aeee996fd3484f28e5cd85fe26b6bdcd

SHA256

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f
  • eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998
  • f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5

File Paths

  • C:\Windows\perfс
SEC-1275-1
Добавить комментарий