Съдържание
- Какво представлява рансъмуерът NotPetya?
- От кого се предпазвате?
Какво представлява рансъмуерът NotPetya?
НеПетя (или Petwrap) е базиран на по-стара версия на рансъмуерът Petya, който първоначално е проектиран да държи файлове и устройства като заложници на свой ред за плащане с биткойн. Въпреки това, въпреки Не опитът на Петя да прибере пари в своята бързо развиваща се глобална атака, изглежда, че не е строго за пари. Вместо това NotPetya криптира файловите системи на машините, за да навреди на компаниите. Аспектът на ransomware очевидно е само прикритие.
Препоръчани видеоклипове
Това, което прави NotPetya опасен, е, че под предната част, базирана на ransomware, се крие експлойт, наречен EternalBlue, за който се твърди, че е проектиран от Администрацията за национална сигурност на Съединените щати (известна още като NSA). Той е насочен към специфичен, уязвим мрежов протокол, наречен Блокиране на съобщения на сървъра (версия 1), използвана за споделяне на принтери, файлове и серийни портове между свързани в мрежа компютри, базирани на Windows. По този начин уязвимостта позволява на отдалечени нападатели да изпращат и изпълняват злонамерен код върху цел компютър. Хакерската група Shadow Brokers изтече EternalBlue през април 2017 г.
Рансъмуерът NotPetya също включва компонент „червей“. Обикновено жертвите стават жертва на ransomware, като изтеглят и изпълняват зловреден софтуер, маскиран като легитимен файл, прикачен в имейл. На свой ред зловредният софтуер криптира конкретни файлове и публикува изскачащ прозорец на екрана, изискващ плащане в биткойни за отключване на тези файлове.
Рансъмуерът Petya обаче, който се появи в началото на 2016 г., направи тази атака още една крачка напред, като криптира целия твърд компютър устройство или твърдотелно устройство чрез заразяване на главния запис за зареждане, като по този начин презаписва програмата, която започва зареждането на Windows последователност. Това доведе до криптиране на таблицата, използвана за проследяване всичко локални файлове (NTFS), което не позволява на Windows да намери всичко, съхранявано локално.
Въпреки способността си да криптира цял диск, Petya можеше да зарази само един целеви компютър. Въпреки това, както се вижда с скорошното огнище на WannaCry, рансъмуерът вече има способността да се премества от компютър на компютър в локална мрежа без намеса на потребителя. Новият рансъмуер NotPetya е способен на същото странично мрежово заразяване, за разлика от оригиналната версия на Petya.
Според Microsoft един от векторите на атака на NotPetya е способността му да открадне идентификационни данни или да използва повторно активна сесия.
„Тъй като потребителите често влизат, използвайки акаунти с локални администраторски привилегии и имат отворени активни сесии в множество машини, откраднатите идентификационни данни вероятно ще осигурят същото ниво на достъп, което потребителят има на други машини,” съобщават от компанията. „След като рансъмуерът има валидни идентификационни данни, той сканира локалната мрежа, за да установи валидни връзки.“
Рансъмуерът NotPetya може също да използва споделяне на файлове, за да се размножава в локалната мрежа и да заразява машини, които не са закърпени срещу уязвимостта EternalBlue. Microsoft дори споменава EternalRomance, друг експлойт, използван срещу протокола Server Message Block, за който се предполага, че е създаден от NSA.
„Това е чудесен пример за два компонента на зловреден софтуер, които се обединяват, за да генерират по-пагубен и устойчив зловреден софтуер“, каза Главен служител по информационна сигурност на Ivanti Фил Ричардс.
В допълнение към бързата, широко разпространена атака на NotPetya, съществува друг проблем: плащането. Рансъмуерът предоставя изскачащ прозорец, изискващ от жертвите да платят $300 в биткойни, използвайки конкретен биткойн адрес, идентификатор на биткойн портфейла и личен инсталационен номер. Жертвите изпращат тази информация на предоставен имейл адрес, който отговаря с ключ за отключване. Този имейл адрес беше бързо затворен, след като германският доставчик на електронна поща Posteo откри злите му намерения.
„Разбрахме, че изнудвачите на ransomware в момента използват адрес на Posteo като средство за контакт. Нашият екип за борба със злоупотребите провери това незабавно – и веднага блокира акаунта,“ каза компанията. „Ние не толерираме злоупотребата с нашата платформа: Незабавното блокиране на злоупотребени имейл акаунти е необходимият подход от страна на доставчиците в такива случаи.“
Това означава, че всеки опит за плащане никога няма да успее, дори ако плащането е целта на зловредния софтуер.
И накрая, Microsoft посочва, че атаката произхожда от украинската компания M.E.Doc, разработчикът зад софтуера за данъчно счетоводство MEDoc. Microsoft не изглежда да сочи с пръст, а вместо това заяви, че има доказателство, че „няколко активни инфекции на ransomware първоначално стартира от легитимния процес на актуализиране на MEDoc.“ Този тип инфекция, отбелязва Microsoft, се разраства тенденция.
Кои системи са изложени на риск?
Засега рансъмуерът NotPetya изглежда е фокусиран върху атакуването на базирани на Windows компютри в организации. Така например беше цялата система за радиационен мониторинг, разположена в атомната електроцентрала в Чернобил изваден от мрежата при атаката. Тук, в Съединените щати, атаката удари цялата здравна система на Heritage Valley, засягайки всички съоръжения, които разчитат на мрежата, включително болниците Beaver и Sewickley в Пенсилвания. Киевското летище Бориспол в Украйна претърпено разписание на полетите закъснения и уебсайтът му беше прекъснат офлайн поради атаката.
За съжаление, няма информация, сочеща към точните версии на Windows, към които е насочен рансъмуерът NotPetya. Докладът за сигурността на Microsoft не изброява конкретни версии на Windows, въпреки че клиентите трябва да приемат, че за да бъдат сигурни че всички търговски и масови версии на Windows, обхващащи Windows XP до Windows 10, попадат в атаката прозорец. В крайна сметка дори WannaCry е насочен към машини с инсталиран Windows XP.
От кого се предпазвате?
Microsoft вече издаде актуализации, блокиращи експлойтите EternalBlue и EternalRomance, използвани от тази последна епидемия от зловреден софтуер. Microsoft се обърна към двете на 14 март 2017 г. с пускането на актуализация на защитата MS17-010. Това беше преди повече от три месеца, което означава, че компаниите, атакувани от NotPetya чрез този експлойт, все още не са актуализирани техните компютри. Microsoft предлага на клиентите да инсталират незабавно актуализация за защита MS17-010, ако не са го направили вече.
Инсталирането на актуализацията за защита е най-ефективният начин да защитите вашия компютър
За организации, които все още не могат да приложат актуализацията за защита, има два метода, които ще предотвратят разпространението на рансъмуера NotPetya: напълно деактивиране на сървърния блок за съобщения версия 1и/или създаване на правило в рутера или защитната стена, което блокира входящия трафик на сървърно съобщение Блокиране на порт 445.
Има още един лесен начин за предотвратяване на инфекция. Започнете от отваряне на File Explorer и зареждане на папката с директория на Windows, която обикновено е „C:\Windows“. Там ще трябва да създадете файл с име „perfc“ (да, без разширение) и задайте неговите разрешения на „Само за четене“ (чрез Общи/Атрибути).
Разбира се, няма реална опция за създаване на нов файл в директорията на Windows, а само опцията Нова папка. Най-добрият начин да създадете този файл е да отворите Notepad и да запишете празен файл „perfc.txt“ в папката на Windows. След това просто изтрийте разширението „.txt“ в името, приемете изскачащото предупреждение на Window и щракнете с десния бутон върху файла, за да промените разрешенията му на „Само за четене“.
По този начин, когато NotPetya зарази компютър, той ще сканира папката на Windows за този конкретен файл, който всъщност е едно от неговите имена на файлове. Ако perfc файлът вече е налице, NotPetya приема, че системата вече е заразена, и става пасивна. Въпреки това, тъй като тази тайна вече е публична, хакерите могат да се върнат към чертожната дъска и да преразгледат рансъмуера NotPetya, за да зависи от друг файл.
Препоръки на редакторите
- Тази игра позволява на хакери да атакуват вашия компютър и дори не е необходимо да я играете
- Бъдете максимално продуктивни с тези съвети и трикове на Slack
