Indhold
- Hvad er NotPetya ransomware?
- Hvem beskytter du dig mod det?
Hvad er NotPetya ransomware?
Ikke Petya (eller Petwrap) er baseret på en ældre version af Petya ransomware, som oprindeligt var designet til at holde filer og enheder som gidsler til gengæld for Bitcoin-betaling. Dog trods NotPetyas forsøg på at samle penge ind i sit hurtige globale angreb ser det ikke ud til at være strengt ude efter penge. I stedet krypterer NotPetya maskinernes filsystemer for at skade virksomheder. Ransomware-aspektet er tilsyneladende kun et dække.
Anbefalede videoer
Det, der gør NotPetya farlig, er, at under den ransomware-baserede front er en udnyttelse kaldet EternalBlue, angiveligt designet af United States National Security Administration (alias NSA). Den er rettet mod en specifik, sårbar netværksprotokol kaldet Servermeddelelsesblok (version 1) bruges til at dele printere, filer og serielle porte mellem netværksforbundne Windows-baserede pc'er. Således tillader sårbarheden fjernangribere at sende og udføre ondsindet kode på et mål computer. Shadow Brokers hackergruppen lækkede EternalBlue i april 2017.
NotPetya ransomware inkluderer også en "orm"-komponent. Typisk bliver ofre offer for ransomware ved at downloade og udføre malware forklædt som en legitim fil vedhæftet i en e-mail. Til gengæld krypterer malwaren specifikke filer og poster et popup-vindue på skærmen, der kræver betaling i Bitcoins for at låse disse filer op.
Dog tog Petya ransomware, der dukkede op i begyndelsen af 2016, angrebet et skridt videre ved at kryptere hele pc'ens hårde drev eller solid state-drev ved at inficere master boot record, og dermed overskrive det program, der starter Windows boot rækkefølge. Dette resulterede i en kryptering af tabellen, der blev brugt til at holde styr på alle lokale filer (NTFS), hvilket forhindrer Windows i at finde noget, der er gemt lokalt.
På trods af sin evne til at kryptere en hel disk, var Petya kun i stand til at inficere en enkelt mål-pc. Dog som det ses med det seneste WannaCry-udbrud, ransomware har nu mulighed for at flytte fra pc til pc på et lokalt netværk uden nogen brugerindblanding. Den nye NotPetya ransomware er i stand til det samme laterale netværksangreb, i modsætning til den originale Petya-version.
Ifølge Microsoft er en af NotPetyas angrebsvektorer dens evne til at stjæle legitimationsoplysninger eller genbruge en aktiv session.
"Fordi brugere ofte logger ind ved hjælp af konti med lokale administratorrettigheder og har aktive sessioner åbner på tværs flere maskiner, vil stjålne legitimationsoplysninger sandsynligvis give det samme niveau af adgang, som brugeren har på andre maskiner," oplyser virksomheden. "Når ransomwaren har gyldige legitimationsoplysninger, scanner den det lokale netværk for at etablere gyldige forbindelser."
NotPetya ransomware kan også bruge fildelinger til at formere sig på tværs af det lokale netværk og angribe maskiner, der ikke er patchet mod EternalBlue-sårbarheden. Microsoft nævner endda Evig Romance, en anden udnyttelse, der blev brugt mod Server Message Block-protokollen, der angiveligt fremtrylles af NSA.
"Dette er et godt eksempel på to malware-komponenter, der går sammen for at generere mere skadelig og modstandsdygtig malware," sagde Ivanti Chief Information Security Officer Phil Richards.
Ud over NotPetyas hurtige, udbredte angreb eksisterer der et andet problem: betaling. Ransomwaren giver et popup-vindue, der kræver, at ofrene skal betale $300 i Bitcoins ved hjælp af en specifik Bitcoin-adresse, Bitcoin-pung-id og personligt installationsnummer. Ofre sender disse oplysninger til en angivet e-mailadresse, der svarer med en oplåsningsnøgle. Denne e-mailadresse blev hurtigt lukket, da den tyske moder-e-mail-udbyder Posteo opdagede dens onde hensigt.
"Vi blev opmærksomme på, at ransomware-afpressere i øjeblikket bruger en Posteo-adresse som kontaktmiddel. Vores anti-misbrugsteam tjekkede dette med det samme – og blokerede kontoen med det samme," sagde virksomheden. "Vi tolererer ikke misbrug af vores platform: Den øjeblikkelige blokering af misbrugte e-mail-konti er den nødvendige tilgang fra udbydere i sådanne tilfælde."
Det betyder, at ethvert forsøg på at betale aldrig ville komme igennem, selvom betaling var målet med malwaren.
Endelig angiver Microsoft, at angrebet stammer fra det ukrainske firma M.E.Doc, udvikleren bag MEDoc skatteregnskabssoftware. Microsoft ser ikke ud til at pege fingre, men erklærede i stedet, at det har bevis for, at "et par aktive infektioner af ransomware startede oprindeligt fra den legitime MEDoc-opdateringsproces." Denne type infektion, bemærker Microsoft, er en voksende tendens.
Hvilke systemer er i fare?
For nu ser NotPetya ransomware ud til at være fokuseret på at angribe Windows-baserede pc'er i organisationer. For eksempel var hele strålingsovervågningssystemet placeret i Tjernobyl-atomkraftværket slået offline under angrebet. Her i USA, angrebet ramte hele Heritage Valley Health System, der påvirker alle faciliteter, der er afhængige af netværket, inklusive Beaver og Sewickley hospitalerne i Pennsylvania. Kiev Boryspil Lufthavn i Ukraine lidt flyveplan forsinkelser, og dens hjemmeside blev slået offline på grund af angrebet.
Desværre er der ingen information, der peger på de nøjagtige versioner af Windows, som NotPetya ransomware er rettet mod. Microsofts sikkerhedsrapport viser ikke specifikke Windows-udgivelser, selvom kunderne for en sikkerheds skyld bør antage at alle kommercielle og almindelige udgivelser af Windows, der spænder over Windows XP til Windows 10, falder inden for angrebet vindue. Når alt kommer til alt, endda WannaCry målrettede maskiner med Windows XP installeret.
Hvem beskytter du dig mod det?
Microsoft har allerede udgivet opdateringer, der blokerer de EternalBlue og EternalRomance-udnyttelser, der bruges af dette seneste malware-udbrud. Microsoft adresserede begge dele den 14. marts 2017 med udgivelsen af sikkerhedsopdatering MS17-010. Det var mere end tre måneder siden, hvilket betyder, at virksomheder angrebet af NotPetya gennem denne udnyttelse endnu ikke har opdateret deres pc'er. Microsoft foreslår, at kunder installerer sikkerhedsopdatering MS17-010 med det samme, hvis de ikke har gjort det allerede.
Installation af sikkerhedsopdateringen er den mest effektive måde at beskytte din pc på
For organisationer, der endnu ikke kan anvende sikkerhedsopdateringen, er der to metoder, der forhindrer spredningen af NotPetya ransomware: deaktivering af Server Message Block version 1 fuldstændigt, og/eller oprettelse af en regel i routeren eller firewallen, der blokerer indgående Server Message Block-trafik på port 445.
Der er en anden enkel måde at forhindre infektion på. Start med åbner File Explorer og indlæser Windows-mappen, som typisk er "C:\Windows." Der skal du oprette en fil med navnet "perfc" (ja uden udvidelse) og sæt dens tilladelser til "Read Only" (via Generelt/Attributter).
Selvfølgelig er der ingen egentlig mulighed for at oprette en ny fil i Windows-mappen, kun muligheden Ny mappe. Den bedste måde at oprette denne fil på er at åbne Notesblok og gemme en tom "perfc.txt"-fil i Windows-mappen. Derefter skal du blot slette ".txt"-udvidelsen i navnet, acceptere vinduets popup-advarsel og højreklikke på filen for at ændre dens tilladelser til "Skrivebeskyttet".
Når NotPetya inficerer en pc, vil den således scanne Windows-mappen for den specifikke fil, som faktisk er et af dens egne filnavne. Hvis perfc-filen allerede er til stede, antager NotPetya, at systemet allerede er inficeret og bliver i dvale. Men med denne hemmelighed nu offentlig, kan hackere gå tilbage til tegnebrættet og revidere NotPetya ransomware til at afhænge af en anden fil.
Redaktørernes anbefalinger
- Dette spil lader hackere angribe din pc, og du behøver ikke engang at spille det
- Vær på dit mest produktive niveau med disse Slack tips og tricks
