How to remove Petya Ransomware!
目次:
Petya Ransomware / Wiper はヨーロッパで大混乱を招いていますが、ウクライナでは感染症を垣間見ることができました。 12,500台のマシンが侵害されました。最悪の部分は、感染がベルギー、ブラジル、インド、そして米国にも広がっていたことでした。 Petyaには、ネットワーク全体に横方向に広がるワーム機能があります。マイクロソフト社は、Petya、Petya Ransomware / Wiper に対処する方法についてのガイドラインを発行しました。最初の感染が広まった後、マイクロソフトは現在、正規のものからアクティブな感染のいくつかが最初に観察されたという証拠を持っていますMEDocの更新プロセス。これは、ソフトウェアサプライチェーン攻撃の明確なケースであり、非常に高いレベルの防衛が必要なので、攻撃者によく見られるようになっています。
上の画像は、MEDocのEvit.exeプロセスが、興味深いことに、同様のベクトルは、妥協の指標の公開リストでウクライナのサイバー警察によって言及された。それは、Petyaが、
資格情報を盗んで、アクティブなセッションを利用できることだと言われています。
ファイル共有サービスを使用してマシン間で悪意ファイルを転送します。
- パッチが適用されていないマシンの場合のSMB脆弱性を悪用します。 >信任状の盗難となりすましを使用した横方向の移動メカニズム
- Petyaが資格情報の破棄ツールを落とすことから始まります。これは32ビット版と64ビット版の両方にあります。ユーザーは通常複数のローカルアカウントでログインするため、アクティブなセッションの1つが複数のマシンにまたがって開かれる可能性が常にあります。信用を盗まれた場合、Petyaは基本レベルのアクセスを得ることができます。
- Petyaはローカルネットワーク上のポートtcp / 139とtcp / 445の有効な接続をスキャンします。次のステップでは、サブネットを呼び出し、すべてのサブネットユーザーに対してtcp / 139とtcp / 445を呼び出します。応答を受け取った後、マルウェアは、ファイル転送機能と以前に盗んだ管理情報を使用して、リモートマシン上のバイナリをコピーします。
psexex.exeはRansomwareによって埋め込みリソースから削除されます。次のステップでは、ローカルネットワーク上でadmin $共有をスキャンし、ネットワーク上で自身を複製します。クレデンシャルをダンプすることは別として、マルウェアはCredEnumerateW関数を使用してクレデンシャルストアから他のすべてのユーザーのクレデンシャルを取得することによってクレデンシャルを盗もうとします。
暗号化
マルウェアは、マルウェアプロセス特権レベルであり、これは、ハッシュ値をチェックし、これを動作排除として使用するXORベースのハッシングアルゴリズムを使用することによって行われる。【0193】次のステップで、Ransomwareはマスターブートレコードに書き込み、システムを再起動します。さらに、スケジュールされたタスク機能を使用して、10分後にマシンをシャットダウンします。次に、Petyaは、下に示すように、実際のRansomメッセージの後に偽のエラーメッセージを表示します。
Ransomwareは、C: Windowsを除くすべてのドライブで異なる拡張子を持つすべてのファイルを暗号化しようとします。生成されたAESキーは固定ドライブごとであり、これはエクスポートされ、攻撃者の埋め込まれた2048ビットRSA公開鍵を使用します。マイクロソフトは言います。
Acronis Ransomware Protection for Windows Pc
Acronis Ransomware Protectionは、WannaCry、Petya、Cerberなどのあらゆる種類のランサムウェアに対してリアルタイム保護を提供するWindowsフリーウェアです。悪いウサギ、AES-NI、およびOsiris。それはバックグラウンドで動作し、疑わしいプロセスを常に探します。
AppCheck Anti-Ransomware
AppCheck Anti-Ransomware
FBI Ransomware Virusを削除する:犯罪記録を削除するために支払う
FBI RansomwareはWindowsコンピュータを身代金にしてあなたの想定される犯罪行為の削除のために支払う。 FBI Ransomwareの削除オプションはほとんどありません。