NotPetya сочетает в себе вымогательское ПО со способностью распространяться по сети. Она распространяется на машины Microsoft Windows с помощью нескольких методов распространения, включая эксплойт EternalBlue для уязвимости CVE-2017-0144 в службе SMB. Это та самая уязвимость, о которой Microsoft сообщила в MS17-010 и которая была успешно использована в недавней вспышке рандомного ПО WannaCry.
После заражения компьютера вирусом NotPetya происходит ряд вредоносных действий, включая следующие:
- хэширование процессов и проверка привилегий процессов
- кража учетных данных
- выдача себя за пользователя
- Распространение вредоносного ПО
- Перечисление сетевых узлов
- Копирование SMB и удаленное выполнение
- Эксплуатация SMBv1 через EternalBlue
- UNC-запись вредоносной программы в admin$ на удаленной цели
- Удаленное выполнение вредоносного ПО
- MBR ransomware
- Шифрование MFT
- Шифрование файлов
- Выключение системы
Indicators of Compromise
MD5
- 2813d34f6197eb4df42c886ec7f234a1
- 71b6a493388e7d0b40c83ce903bc6b04
- 7e37ab34ecdcc3e77e24522ddfd4852d
- aeee996fd3484f28e5cd85fe26b6bdcd
SHA256
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f
- eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998
- f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5
File Paths
- C:\Windows\perfс