| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | EternalPetya | BadRabbit | ||||||||||||||||||||||||
2 | Other names | ExPetr; NotPetya Nyetya; Petna | Bad Rabbit | |||||||||||||||||||||||
3 | Most affected countries | UKR; Other European countries; RU; US | UKR; RU; BG; TR | |||||||||||||||||||||||
4 | Most affected organisations | Telecomms; energy; shipping (Multinational) | Media; transportation | |||||||||||||||||||||||
5 | Infection vector | Supply-chain attack (M.E. Doc) | Compromised website (drive-by download) | |||||||||||||||||||||||
6 | Ransomware DLLs / filenames | perfc.dat | infpub.dat; cscc.dat | |||||||||||||||||||||||
7 | Binaries are signed | Yes (expired Microsoft signature) | Yes (expired Microsoft signature; invalid Symantec signature) | |||||||||||||||||||||||
8 | Creates service | No | Yes (Windows Client Side Caching DDriver) | |||||||||||||||||||||||
9 | Exploits/vulnerabilities | EternalRomance (ER); EternalBlue (EB) | EternalRomance-like, but no DoublePulsar or shellcode (based on zzz_exploit.py by sleepya) | |||||||||||||||||||||||
10 | Credential-grabbing | Mimikatz (custom; limited version) | Mimikatz (custom; limited version) Hardcoded credential list | |||||||||||||||||||||||
11 | Uses named pipes for grabbed credentials | Yes | Yes | |||||||||||||||||||||||
12 | Lateral movement/spreading | ER; EB; PsExec; WMIC; SMB/NetBIOS(scanning) | zzz_exploit; WMIC; SMB/NetBIOS (scanning) | |||||||||||||||||||||||
13 | Forces reboot | Yes (scheduled task; NtRaiseHardError) | Yes (scheduled task) | |||||||||||||||||||||||
14 | Uses scheduled tasks for reboot and persistence | Yes | Yes | |||||||||||||||||||||||
15 | Deletes event logs / journal | Yes | Yes | |||||||||||||||||||||||
16 | Uses Tor for C2 / payment portal | Yes | Yes | |||||||||||||||||||||||
17 | Encryption algorithm | AES-128 (CBC) + RSA-2048 | AES-128 (CBC) + RSA-2048 | |||||||||||||||||||||||
18 | Encrypts files | Yes | Yes | |||||||||||||||||||||||
19 | Encrypts/modifies MBR | Yes (installed at begin of the MBR) | Yes (installed at end of the MBR) | |||||||||||||||||||||||
20 | Encrypts/modifies MFT | Yes (Salsa20) | Yes (AES-256-XTS) | |||||||||||||||||||||||
21 | Kernel bootloader | Modified Petya bootloader | Custom + DiskCryptor | |||||||||||||||||||||||
22 | Fake CHKDSK message | Yes | No | |||||||||||||||||||||||
23 | Uses DiskCryptor (Legitimate tool by itself) | No | Yes | |||||||||||||||||||||||
24 | Ransomware demand | $300 in Bitcoin (~ 0.05 BTC) | 0.05 Bitcoin (~ $300) | |||||||||||||||||||||||
25 | Bitcoin wallets | Multiple | Multiple | |||||||||||||||||||||||
26 | Number of targeted filetypes / extensions | 62 | 113 | |||||||||||||||||||||||
27 | Decryption possible | No (key is erased or wiped) | Possibly (volume shadow copies; or with the cyber-criminal's private key) | |||||||||||||||||||||||
28 | References to pop culture | No | Yes (Game of Thrones; Hackers movie) | |||||||||||||||||||||||
29 | Purpose | Likely destruction/ disruption | Likely extortion / disruption | |||||||||||||||||||||||
30 | Date of outbreak | 2017-06-27 | 2017-10-24 | |||||||||||||||||||||||
31 | Date significance in UKR | Constitution day (28th) | None | |||||||||||||||||||||||
32 | Date significance in RU | None | Day of the special forces | |||||||||||||||||||||||
33 | Date significance globally | None | United Nations day | |||||||||||||||||||||||
34 | Attribution | Likely Russia-based actors | Likely Russia-based actors | |||||||||||||||||||||||
35 | ||||||||||||||||||||||||||
36 | Created by | @bartblaze | ||||||||||||||||||||||||
37 | Source | https://bartblaze.blogspot.com | ||||||||||||||||||||||||
38 | ||||||||||||||||||||||||||
39 | ||||||||||||||||||||||||||
40 | ||||||||||||||||||||||||||
41 | ||||||||||||||||||||||||||
42 | ||||||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | ||||||||||||||||||||||||||
45 | ||||||||||||||||||||||||||
46 | ||||||||||||||||||||||||||
47 | ||||||||||||||||||||||||||
48 | ||||||||||||||||||||||||||
49 | ||||||||||||||||||||||||||
50 | ||||||||||||||||||||||||||
51 | ||||||||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | ||||||||||||||||||||||||||
54 | ||||||||||||||||||||||||||
55 | ||||||||||||||||||||||||||
56 | ||||||||||||||||||||||||||
57 | ||||||||||||||||||||||||||
58 | ||||||||||||||||||||||||||
59 | ||||||||||||||||||||||||||
60 | ||||||||||||||||||||||||||
61 | ||||||||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | ||||||||||||||||||||||||||
64 | ||||||||||||||||||||||||||
65 | ||||||||||||||||||||||||||
66 | ||||||||||||||||||||||||||
67 | ||||||||||||||||||||||||||
68 | ||||||||||||||||||||||||||
69 | ||||||||||||||||||||||||||
70 | ||||||||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | ||||||||||||||||||||||||||
73 | ||||||||||||||||||||||||||
74 | ||||||||||||||||||||||||||
75 | ||||||||||||||||||||||||||
76 | ||||||||||||||||||||||||||
77 | ||||||||||||||||||||||||||
78 | ||||||||||||||||||||||||||
79 | ||||||||||||||||||||||||||
80 | ||||||||||||||||||||||||||
81 | ||||||||||||||||||||||||||
82 | ||||||||||||||||||||||||||
83 | ||||||||||||||||||||||||||
84 | ||||||||||||||||||||||||||
85 | ||||||||||||||||||||||||||
86 | ||||||||||||||||||||||||||
87 | ||||||||||||||||||||||||||
88 | ||||||||||||||||||||||||||
89 | ||||||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | ||||||||||||||||||||||||||
93 | ||||||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | ||||||||||||||||||||||||||
96 | ||||||||||||||||||||||||||
97 | ||||||||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 |