How to remove Petya Ransomware!
Innehållsförteckning:
Petya Ransomware / Wiper Efter spridningen av den ursprungliga infektionen har Microsoft nu bevis på att några av de aktiva infektionerna i ransomware först observerades från den legitima Medoc-uppdateringsprocessen. Detta gjorde det till ett tydligt fall av mjukvaruförsörjningskedjan attacker som blivit ganska vanliga med angriparna eftersom det behöver ett försvar på mycket hög nivå. Bilden nedan visar hur Evit.exe-processen från Medoc utförde följande kommando linje, Intressant liknande vektor nämndes också av Ukrainas Cyber Police på den offentliga listan över indikatorer på kompromiss. Med detta sagt kan Petya
stjäla referenser och utnyttja de aktiva sessionerna
Överföra skadliga filer över maskiner genom att använda fildelningstjänsterna
Missbrukar SMB-sårbarheter i fallet med omatchade maskiner.
- Lateral rörelsemekanism som använder legitimationsstöld och ombildning händer
- Allt börjar med att Petya släpper ett referensverktyg för korrekturläsning, och detta kommer både i 32-bitars och 64-bitars varianter. Eftersom användarna vanligtvis loggar in med flera lokala konton finns det alltid en chans att en aktiv session kommer att vara öppen över flera maskiner. Stolna uppgifter kommer att hjälpa Petya att få en grundläggande tillgångsnivå.
- När Petya har skannat det lokala nätverket för giltiga anslutningar på portarna tcp / 139 och tcp / 445. Sedan i nästa steg kallas det subnät och för alla subnätanvändare tcp / 139 och tcp / 445. Efter att ha fått ett svar kommer malware sedan kopiera binären på fjärrmaskinen genom att använda filöverföringsfunktionen och de uppgifter som den tidigare lyckats stjäla.
Psexex.exe släpps av Ransomware från en inbäddad resurs. I nästa steg skannar det lokala nätverket för admin $-aktier och replikerar sedan sig över nätverket. Bortsett från legitimationsdumpning försöker malwareprogrammet också att stjäla dina uppgifter genom att använda CredEnumerateW-funktionen för att få alla andra användaruppgifter från referenscentralen.
Kryptering
Malware beslutar att kryptera systemet beroende på programprioritetsnivå för skadlig programvara, och detta görs genom att använda en XOR-baserad hashingalgoritm som kontrollerar hashvärdena och använder den som ett uteslutande av beteende.
I nästa steg skriver Ransomware till huvudstartschemat och sedan sätter upp systemet för att starta om. Dessutom använder den också den schemalagda arbetsfunktionen för att stänga av maskinen efter 10 minuter. Nu visar Petya ett falskt felmeddelande följt av ett faktiskt Ransom-meddelande som visas nedan.
Ransomware försöker sedan kryptera alla filer med olika tillägg över alla enheter, förutom C: Windows. Den genererade AES-nyckeln är per fast enhet, och detta exporteras och använder attackerens inbyggda 2048-bitars RSA-nyckel, säger Microsoft.
Acronis Ransomware Protection är ett Windows-freeware som ger realtidsskydd mot alla typer av ransomware som WannaCry, Petya, Cerber, Dålig kanin, AES-NI och Osiris. Det fungerar i bakgrunden och söker ständigt efter eventuella misstänkta processer.
Att bli attackerad av en Ransomware kan vara traumatiserande och kan ge dig stor förlust när det gäller data och pengar. Nyligen har antalet sådana
Hämta Petya ransomware dekryptera verktyg och lösenord generator
Petya ransomware dekryptera verktyg och lösenord generator finns tillgänglig som en gratis nedladdning. Hämta din Petya krypterade disk tillbaka utan att betala några lösenorden.
Petya ransomware hackare låst ut från sitt e-postkonto
På tisdag träffade Petya ransomware flera länder i hela Europa och nu har hackarna låsts ut från sina e-postkonton och lämnat offren strandade.