ANTICHAT - Pentest Detections. WannaCry, Petya

ANTICHAT (https://forum.antichat.xyz/index.php)

- Этичный хакинг или пентестинг (https://forum.antichat.xyz/forumdisplay.php?f=209)

- - Pentest Detections. WannaCry, Petya (https://forum.antichat.xyz/showthread.php?t=559905)

Всем привет! Наверняка, многие из вас слышали о новой волне распространения вирусов – вымогателей, такого как Petya например.

Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением семейств ОС Microsoft Windows. Первые разновидности вируса были обнаружены еще в марте 2016 года.

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки ОС. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT таблицу — базу данных с информацией о всех файлах, хранящихся на диске.

https://forum.antichat.xyz/attachmen...27ebd25d03.png

На Github, у пользователя Positive Researchпоявилось решение позволяющее обнаружить потенциально уязвимые места в вашей системе, а так же присутствие зловреда.

Скачиваем Pentest-Detections со страницы автора на Github:

> https://github.com/ptresearch/Pentest-Detections

Распаковываем:

https://forum.antichat.xyz/attachmen...38cbbb5be4.png

И запускаем из командной строки, указав необходимые параметры:

https://forum.antichat.xyz/attachmen...3371b05e09.png

Доступные опции:

Vulnerability scanner for MS17-010.

IPv4, IPv6 compatible.

Requirement: WinPcap 4.1.3 https://www.winpcap.org/install/default.htm

Usage: WannaCry_Petya_FastDetect [-h] [-noARP] [-a6]

[-f file-name]

[-t6 single-IPv6]

[-t4 single-IPv4 / range-of-IPv4 / netmask]

[-n number-of-threads]

'-h' --- Help.

'-a6' --- Auto mode. Scanning only IPv6 network addresses (in this case is used ICMPv6 Multicast Echo Request).

'-f' --- File mode. Use input file with IPv4 and IPv6 addresses written in a column.

'-t6' --- IPv6 mode. Use only single IPv6 address. Examples: fe80::fdba:4364:7f82:a4cd

'-t4' --- IPv4 mode. Examples: 192.168.0.123 or 10.0.123.0/24 or 192.168.0.1-192.168.0.50.

'-n' --- Number of threads for vuln detect scanning. Optional. Default: 3.

'-noARP' --- Do not use ARP scanning for local network. Optional.

Example:

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1 -n 1

WannaCry_Petya_FastDetect.exe -t4 192.168.0.0/24 -n 8

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1-192.168.0.50

WannaCry_Petya_FastDetect.exe -t6 fe80::fdba:4364:7f82:a4cd

WannaCry_Petya_FastDetect.exe -a6

WannaCry_Petya_FastDetect.exe -f C:\Work\IpListSeparetedWithNewLine.txt

Надеюсь, кому-то окажется полезным. Спасибо за внимание.

Украинские единомышленники жгут!

Уже есть разъяснение что петя не вымогатель, а вайпер.

Уважаемые форумчане!

Нет-ли у кого "рабочей" версии неПети и/или WannaCry?

Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают.
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают.

Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.

Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?

Подскажите пожалуйста.

"почти небоевая" WannaCry (т.е. шифрует, но не расползается по сети) на всех зоопарках лежит, у нее размер распакованный должен быть не менее 3,5 МБ
а notPetya который только меняет MBR и это легко лечится Bootrec.exe /FixMbr на hybrid-analysis.com есть, с именем
pet1.exe

Цитата:

virKiller99 сказал(а):

Уважаемые форумчане!

Нет-ли у кого "рабочей" версии неПети и/или WannaCry?

Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают.
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают.

Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.

Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?

Подскажите пожалуйста.

Нашел давно,если тема актуальна глянь,это для линукса
https://github.com/tarcisio-marinho/GonnaCry

[doublepost=1507549888,1507534986][/doublepost]эта ссылка для Win,проверил на виртуалке прикольно
https://github.com/mauri870/ransomware
для ознакомления потянет