পেটা র্যানসোমওয়্যার / ওয়াইপারের কার্যপ্রণালীটি একটি নতুন বোতলের পুরনো ওয়াইন।

পেটা র্যানসোমওয়্যার / ওয়াইপার ইউরোপে ক্ষয় তৈরি করছে এবং ইউক্রেনের সংক্রমণের একটি আভাস প্রথম দিকে দেখা যায় 12,500 মেশিনে আপস করা হয়েছিল। সবচেয়ে খারাপ অংশ হল যে সংক্রমণ বেলজিয়াম, ব্রাজিল, ভারত ও মার্কিন যুক্তরাষ্ট্র জুড়ে ছড়িয়েছিল। পেতুতে ক্ষতিকারক ক্ষমতা রয়েছে যা এটি নেটওয়ার্কে পার্শ্বে ছড়িয়ে দিতে সক্ষম হবে। মাইক্রোসফট পেটিয়া,

পেটিয়া র্যানসোমওয়্যার / ওয়াইপার

এর প্রাথমিক সংক্রমণের বিস্তারের পর কীভাবে এটি মোকাবেলা করবে তার একটি নির্দেশিকা জারি করেছে, মাইক্রোসফট এখন প্রমাণ করেছে যে র্যানসোমওয়্যারের কয়েকটি সক্রিয় সংক্রমণ প্রথমটি থেকে বৈধ MEDOC আপডেট প্রক্রিয়া। এটি এমন সফটওয়্যার সাপ্লাই চেইন আক্রমণের একটি স্পষ্ট কেস তৈরি করেছে যা আক্রমণকারীদের সাথে খুবই সাধারণ হয়ে পড়েছে কারণ এটি খুব উচ্চ স্তরের প্রতিরক্ষা প্রয়োজন।

উপরের নীচের ছবিটি দেখায় কিভাবে MEDOC থেকে Evit.exe প্রক্রিয়া নিম্নলিখিত কমান্ডটি চালায় লাইন, স্পষ্টতই অনুরূপ ভেক্টরও ইউক্রেন সাইবার পুলিশ দ্বারা সংঘাতের সূচকগুলির পাবলিক তালিকাতে উল্লেখ করা হয়েছে। যে বলেন Petya সক্ষম হয়

• শংসাপত্র চুরি করা এবং সক্রিয় অধিবেশন ব্যবহার করা
• ফাইল শেয়ারিং সেবা ব্যবহার করে মেশিন জুড়ে দূষিত ফাইল স্থানান্তর
• Unbarched মেশিনের ক্ষেত্রে SMB দুর্বলতা অপব্যবহার।

প্রত্নতাত্ত্বিক চুরি এবং ছদ্মবেশ ব্যবহার করে পার্শ্বচরিত আন্দোলন প্রক্রিয়াটি

পেত্রিয়া একটি প্রাতিষ্ঠানিক ডাম্পিং টুল ড্রপ করা শুরু করে এবং এটি উভয় 32-বিট এবং 64-বিট উভয় সংস্করণে আসে। যেহেতু ব্যবহারকারীরা সাধারণত বেশ কয়েকটি স্থানীয় অ্যাকাউন্টে লগ ইন করে, তাই সবসময় একটি সুযোগ থাকে যে একটি সক্রিয় সেশনের মধ্যে একটি একাধিক মেশিনের জন্য খোলা হবে। চুরি করা প্রমাণপত্রাদি পেতুকে একটি মৌলিক স্তরের অ্যাক্সেস লাভ করতে সাহায্য করবে।

একবার পেটা পোর্ট টিসিপি / 139 এবং টিসিপি / 445 এ বৈধ সংযোগগুলির জন্য স্থানীয় নেটওয়ার্ক স্ক্যান করে। তারপর পরবর্তী ধাপে, এটি সাবনেট এবং প্রতিটি সাবনেট ব্যবহারকারীদের জন্য টিসিপি / 139 এবং টিসিপি / 445 কল করে। একটি প্রতিক্রিয়া পাওয়ার পর, ম্যালওয়ারটি দূরবর্তী মেশিনে ফাইল ট্রান্সফার বৈশিষ্ট্য ব্যবহার করে এবং সেগুলি যা চুরি করাতে পরিচালিত হয়েছিল সেগুলি দ্বারা কপি করা হবে।

psexex.exe রম্ভোডের দ্বারা একটি এম্বেডেড রিসোর্স থেকে বাদ দেওয়া হয় । পরের ধাপে, এটি অ্যাডমিন $ শেয়ারের জন্য স্থানীয় নেটওয়ার্ককে স্ক্যান করে এবং তারপর নেটওয়ার্ক জুড়ে নিজেকে প্রতিলিপি করে। ক্রেডেনশিয়াল ডাম্পিং ছাড়াও ক্রেডেনশিয়াল স্টোর থেকে অন্য সকল ব্যবহারকারীর শংসাপত্রগুলি পেতে ক্র্যাশের নাম ব্যবহার করে CredEnumerateW ফাংশন ব্যবহার করে আপনার শংসাপত্রগুলি চুরি করার চেষ্টা করে।

এনক্রিপশন

মালওয়্যার সিস্টেমের উপর নির্ভর করে এনক্রিপ্ট করার সিদ্ধান্ত নেয় ম্যালওয়্যার প্রক্রিয়া বিশেষাধিকার স্তর, এবং এটি একটি XOR- ভিত্তিক হ্যাশিং অ্যালগরিদম নিযুক্ত করে যা হ্যাশ মানগুলির বিরুদ্ধে পরীক্ষা করে এবং এটি একটি আচরণ বর্জন হিসাবে ব্যবহার করে।

পরবর্তী ধাপে, র্যানসোমওয়্যার মাস্টার বুট রেকর্ডে লিখেন এবং তারপর সেট করেন রিবুট করার জন্য সিস্টেম আপ। উপরন্তু, এটি 10 ​​মিনিট পরে মেশিন বন্ধ করার জন্য নির্ধারিত কর্মের কার্যকারিতা ব্যবহার করে। এখন পেটা একটি জাল ত্রুটি বার্তা প্রদর্শন করে একটি প্রকৃত রেনসম মেসেজ দ্বারা অনুসরণ করে নীচে দেখানো হয়েছে।

Ransomware তারপর C: Windows ব্যতীত সমস্ত ড্রাইভগুলির মধ্যে বিভিন্ন এক্সটেনশনের সমস্ত ফাইল এনক্রিপ্ট করার চেষ্টা করবে। এএইএস তৈরি করা হয়েছে নির্দিষ্ট ড্রাইভের জন্য এবং এটি এক্সপোর্ট করে এবং আক্রমণকারীর ২048-বিট RSA পাবলিক কী ব্যবহার করে মাইক্রোসফট বলে।