Всем привет! Наверняка, многие из вас слышали о новой волне распространения вирусов – вымогателей, такого как Petya например.

Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением семейств ОС Microsoft Windows. Первые разновидности вируса были обнаружены еще в марте 2016 года.

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки ОС. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT таблицу — базу данных с информацией о всех файлах, хранящихся на диске.



На Github, у пользователя Positive Researchпоявилось решение позволяющее обнаружить потенциально уязвимые места в вашей системе, а так же присутствие зловреда.

Скачиваем Pentest-Detections со страницы автора на Github:

> https://github.com/ptresearch/Pentest-Detections

Распаковываем:



И запускаем из командной строки, указав необходимые параметры:



Доступные опции:

Vulnerability scanner for MS17-010.

IPv4, IPv6 compatible.

Requirement: WinPcap 4.1.3 https://www.winpcap.org/install/default.htm

Usage: WannaCry_Petya_FastDetect [-h] [-noARP] [-a6]

[-f file-name]

[-t6 single-IPv6]

[-t4 single-IPv4 / range-of-IPv4 / netmask]

[-n number-of-threads]

'-h' --- Help.

'-a6' --- Auto mode. Scanning only IPv6 network addresses (in this case is used ICMPv6 Multicast Echo Request).

'-f' --- File mode. Use input file with IPv4 and IPv6 addresses written in a column.

'-t6' --- IPv6 mode. Use only single IPv6 address. Examples: fe80::fdba:4364:7f82:a4cd

'-t4' --- IPv4 mode. Examples: 192.168.0.123 or 10.0.123.0/24 or 192.168.0.1-192.168.0.50.

'-n' --- Number of threads for vuln detect scanning. Optional. Default: 3.

'-noARP' --- Do not use ARP scanning for local network. Optional.

Example:

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1 -n 1

WannaCry_Petya_FastDetect.exe -t4 192.168.0.0/24 -n 8

WannaCry_Petya_FastDetect.exe -t4 192.168.0.1-192.168.0.50

WannaCry_Petya_FastDetect.exe -t6 fe80::fdba:4364:7f82:a4cd

WannaCry_Petya_FastDetect.exe -a6

WannaCry_Petya_FastDetect.exe -f C:\Work\IpListSeparetedWithNewLine.txt

Надеюсь, кому-то окажется полезным. Спасибо за внимание.