Kuidas kaitsta oma arvutit NotPetya lunavara eest

NotPetya lunavara
Trend Micro
26. juunil 2017 uut tüüpi lunavara nimega NotPetya alustas arvutisüsteemide ründamist kogu maailmas. Algselt oli see suunatud Ukraina suurematele süsteemidele, sealhulgas pankadele, postiteenustele, lennujaamadele, elektriettevõtetele ja muule. Kuid see levis kiiresti väljapoole oma sihttsooni, laienedes 64 riigis, sealhulgas Brasiilias, Saksamaal, Venemaal ja isegi Ameerika Ühendriikides. Vaatame, mis see NotPetya lunavara on, milliseid süsteeme see mõjutab ja kuidas saate selle konkreetse rünnaku eest valvata.

Sisu

  • Mis on NotPetya lunavara?
  • Kelle eest sa end kaitsed?

Mis on NotPetya lunavara?

NotPetya (või Petwrap) põhineb vanemal versioonil Petya lunavara, mis oli algselt mõeldud failide ja seadmete omakorda pantvangis hoidmiseks Bitcoini maksete eest. Siiski, hoolimata NotPetya katse raha koguda oma kiiresti arenevas globaalses rünnakus ei näi see olevat rangelt raha pärast. Selle asemel krüpteerib NotPetya masinate failisüsteeme, et ettevõtteid kahjustada. Lunavara aspekt on ilmselt vaid kate.

Soovitatud videod

NotPetya teeb ohtlikuks see, et lunavarapõhise esikülje all on ärakasutamine nimega igavene sinine, väidetavalt kavandas Ameerika Ühendriikide riiklik julgeolekuamet (teise nimega NSA). See on suunatud spetsiifilisele haavatavale võrguprotokollile Serveri sõnumite blokeerimine (versioon 1), mida kasutatakse printerite, failide ja jadaportide jagamiseks võrku ühendatud Windowsi-põhiste arvutite vahel. Seega võimaldab haavatavus kaugründajatel sihtmärgil pahatahtlikku koodi saata ja käivitada arvuti. Häkkerite rühmitus Shadow Brokers lekkis EternalBlue 2017. aasta aprillis.

NotPetya lunavara sisaldab ka "ussi" komponenti. Tavaliselt langevad ohvrid lunavara ohvriks, laadides alla ja käivitades e-kirjale lisatud seadusliku failina maskeeritud pahavara. Pahavara omakorda krüpteerib teatud failid ja postitab ekraanile hüpikakna, mis nõuab nende failide avamiseks tasumist Bitcoinides.

2016. aasta alguses ilmunud Petya lunavara viis selle rünnaku sammu edasi, krüpteerides kogu arvuti kõvaketta. draiv või pooljuhtketas, nakatades alglaadimise põhikirje, kirjutades nii üle programmi, mis käivitab Windowsi alglaadimise järjestus. Selle tulemuseks oli jälgimiseks kasutatud tabeli krüpteerimine kõik kohalikud failid (NTFS), mis takistab Windowsil leidmast kõike, mis on lokaalselt salvestatud.

Vaatamata võimalusele krüpteerida terve ketas, suutis Petya nakatada ainult ühte sihtarvutit. Siiski, nagu näha koos hiljutine WannaCry puhang, on lunavaral nüüd võimalus liikuda arvutist arvutisse kohalikus võrgus ilma kasutaja sekkumiseta. Uus NotPetya lunavara on erinevalt algsest Petya versioonist võimeline samasuguse külgmise võrgu nakatumise vastu.

Microsofti sõnul on üks NotPetya rünnakuvektoritest selle võime varastada mandaate või uuesti kasutada aktiivset seanssi.

"Kuna kasutajad logivad sageli sisse kohalike administraatoriõigustega kontosid kasutades ja neil avanevad aktiivsed seansid Kui kasutate mitut masinat, tagavad varastatud mandaadid tõenäoliselt sama juurdepääsutaseme, mis kasutajal on ka teistes masinates masinad," teatab ettevõte. "Kui lunavaral on kehtivad mandaadid, skannib see kehtivate ühenduste loomiseks kohalikku võrku."

NotPetya lunavara võib kasutada ka failijagamisi, et ennast kohalikus võrgus paljundada ja nakatada masinaid, mis pole EternalBlue'i haavatavuse vastu paigatud. Microsoft isegi mainib Igavene Romantika, järjekordne ärakasutamine, mida kasutatakse serveri sõnumiploki protokolli vastu, mille NSA on väidetavalt välja võlunud.

"See on suurepärane näide kahest pahavarakomponendist, mis ühendavad kahjulikumat ja vastupidavamat pahavara," ütles ta. Ivanti infoturbe juht Phil Richards.

Lisaks NotPetya kiirele ja laialt levinud rünnakule on veel üks probleem: maksmine. Lunavara pakub hüpikakna, mis nõuab ohvritelt 300 dollari maksmist Bitcoinides, kasutades konkreetset Bitcoini aadressi, Bitcoini rahakoti ID-d ja isiklikku installinumbrit. Ohvrid saadavad selle teabe esitatud e-posti aadressile, mis vastab avamisvõtmega. See e-posti aadress suleti kiiresti, kui Saksa emapostiteenuse pakkuja Posteo avastas selle kurja kavatsuse.

„Saime teada, et lunavara väljapressijad kasutavad praegu kontaktivahendina Posteo aadressi. Meie kuritarvitamise vastane meeskond kontrollis seda kohe ja blokeeris konto kohe. teatas ettevõte. "Me ei salli oma platvormi väärkasutust: sellistel juhtudel on teenusepakkujate jaoks vajalik väärkasutatud meilikontode kohene blokeerimine."

See tähendab, et kõik maksekatsed ei lähe kunagi läbi, isegi kui pahavara eesmärk oleks maksmine.

Lõpuks märgib Microsoft, et rünnak sai alguse Ukraina ettevõttest M.E.Doc, mis on MEDoc maksuarvestustarkvara arendaja. Microsoft ei näi näpuga näitavat, vaid teatas selle asemel, et tal on tõendeid selle kohta, et "mõned aktiivsed nakkused lunavara sai algselt alguse legitiimsest MEDoci värskendamisprotsessist. Microsoft märgib, et seda tüüpi nakkused sagenevad trend.

Millised süsteemid on ohus?

Praegu näib, et NotPetya lunavara on keskendunud organisatsioonide Windowsi-põhiste personaalarvutite ründamisele. Näiteks kogu Tšernobõli tuumajaamas asuv kiirgusseiresüsteem oli langes rünnakul võrgust välja. Siin, Ameerika Ühendriikides, rünnak mõjutas kogu Heritage Valley tervisesüsteemi, mis mõjutab kõiki võrgust sõltuvaid rajatisi, sealhulgas Beaveri ja Sewickley haiglaid Pennsylvanias. Kiievi Borõspili lennujaam Ukrainas kannatanud lennugraafik viivitused ja selle veebisait kaotati rünnaku tõttu võrguühenduseta.

Kahjuks puudub teave, mis viitaks täpsetele Windowsi versioonidele, mida NotPetya lunavara sihib. Microsofti turbearuanne ei loetle konkreetseid Windowsi väljaandeid, kuigi ohutuse tagamiseks peaksid kliendid eeldama et kõik Windowsi kaubanduslikud ja tavaversioonid, mis hõlmavad Windows XP kuni Windows 10, jäävad rünnaku alla aken. Lõppude lõpuks isegi WannaCry sihitud masinad, millele on installitud Windows XP.

Kelle eest sa end kaitsed?

Microsoft on juba välja andnud värskendused, mis blokeerivad selle viimase pahavarapuhangu kasutatud EternalBlue'i ja EternalRomance'i ärakasutamise. Microsoft käsitles mõlemat 14. märtsil 2017 koos väljalaskega turvavärskendus MS17-010. See oli rohkem kui kolm kuud tagasi, mis tähendab, et ettevõtted, keda NotPetya selle ärakasutamise kaudu rünnati, pole veel värskendanud nende arvutid. Microsoft soovitab klientidel turvavärskenduse MS17-010 kohe installida, kui nad pole seda teinud juba.

Turvavärskenduse installimine on kõige tõhusam viis arvuti kaitsmiseks

Organisatsioonide jaoks, kes ei saa veel turvavärskendust rakendada, on NotPetya lunavara leviku tõkestamiseks kaks meetodit: Serveri sõnumibloki versiooni 1 täielik keelamineja/või luua ruuteris või tulemüüris reegel, mis blokeerib sissetuleva serveriteadete blokeerimise liikluse pordis 445.

On veel üks lihtne viis nakkuse vältimiseks. Alusta sellest avage File Explorer ja laadige üles Windowsi kataloogi kaust, mis on tavaliselt "C:\Windows". Seal peate looma faili nimega "perfc" (jah, ilma laiendita) ja määrake selle õigused "Ainult lugemiseks" (üldise/atribuutide kaudu).

Muidugi pole Windowsi kataloogis uut faili loomiseks tegelikku võimalust, vaid lihtsalt valik Uus kaust. Parim viis selle faili loomiseks on avada Notepad ja salvestada Windowsi kausta tühi fail "perfc.txt". Pärast seda kustutage lihtsalt nimest laiend ".txt", nõustuge akna hüpikakna hoiatusega ja paremklõpsake failil, et muuta selle õigused kirjutuskaitstuks.

Seega, kui NotPetya nakatab arvutit, skannib see Windowsi kausta selle konkreetse faili jaoks, mis on tegelikult üks tema enda failinimedest. Kui perfc-fail on juba olemas, eeldab NotPetya, et süsteem on juba nakatunud, ja jääb seisma. Kuid kuna see saladus on nüüd avalikustatud, võivad häkkerid minna tagasi joonistuslauale ja muuta NotPetya lunavara, et see sõltuks teisest failist.

Toimetajate soovitused

  • See mäng võimaldab häkkeritel teie arvutit rünnata ja te ei pea seda isegi mängima
  • Olge nende Slacki näpunäidete ja nippidega kõige produktiivsem