Sisällys
- Mikä on NotPetya ransomware?
- Ketä suojaat itseäsi siltä?
Mikä on NotPetya ransomware?
Ei Petya (tai Lemmikkikääre) perustuu vanhempaan versioon Petya lunnasohjelma, joka oli alun perin suunniteltu pitämään tiedostoja ja laitteita vuorostaan panttivankeina Bitcoin-maksua varten. Kuitenkin huolimatta NotPetyan yritys kerätä rahaa nopeasti etenevässä globaalissa hyökkäyksessään se ei näytä kaipaavan tiukasti rahaa. Sen sijaan NotPetya salaa koneiden tiedostojärjestelmiä vahingoittaakseen yrityksiä. Ransomware-näkökohta on ilmeisesti vain peite.
Suositellut videot
NotPetyasta vaarallisen tekee se, että ransomware-pohjaisen rintaman alla on hyväksikäyttö ns. EternalBlue, väitetään Yhdysvaltojen kansallisen turvallisuushallinnon (alias NSA) suunnitteleman. Se kohdistuu tiettyyn, haavoittuvaan verkkoprotokollaan Palvelimen viestilohko (versio 1), jota käytetään tulostimien, tiedostojen ja sarjaporttien jakamiseen verkkoon kytkettyjen Windows-pohjaisten tietokoneiden välillä. Näin ollen haavoittuvuus sallii etähyökkääjien lähettää ja suorittaa haitallista koodia kohteessa tietokone. Shadow Brokers -hakkeriryhmä EternalBlue vuoti huhtikuussa 2017.
NotPetya ransomware sisältää myös "mato"-komponentin. Tyypillisesti uhrit joutuvat kiristysohjelmien saaliiksi lataamalla ja suorittamalla haittaohjelmia, jotka on naamioitu sähköpostiin liitteenä olevaksi lailliseksi tiedostoksi. Haittaohjelma puolestaan salaa tietyt tiedostot ja lähettää näytölle ponnahdusikkunan, jossa vaaditaan maksua Bitcoineina näiden tiedostojen lukituksen avaamiseksi.
Vuoden 2016 alussa ilmestynyt Petya-lunnasohjelma vei hyökkäyksen kuitenkin askeleen pidemmälle salaamalla tietokoneen koko kovalevyn. asema tai solid-state-asema saastuttamalla pääkäynnistystietueen ja siten korvaamalla Windowsin käynnistyksen aloittavan ohjelman järjestys. Tämä johti seurannassa käytetyn taulukon salaukseen kaikki paikalliset tiedostot (NTFS), mikä estää Windowsia paikantamasta mitään paikallisesti tallennettua.
Huolimatta kyvystään salata koko levy, Petya kykeni saastuttamaan vain yhden kohdetietokoneen. Kuitenkin, kuten nähdään äskettäinen WannaCry-epidemia, lunnasohjelmat voivat nyt siirtyä tietokoneesta tietokoneeseen paikallisessa verkossa ilman käyttäjän toimia. Uusi NotPetya ransomware pystyy samaan lateraaliseen verkkotartuntaan, toisin kuin alkuperäinen Petya-versio.
Microsoftin mukaan yksi NotPetyan hyökkäysvektoreista on sen kyky varastaa valtuustietoja tai käyttää uudelleen aktiivista istuntoa.
"Koska käyttäjät kirjautuvat usein sisään käyttämällä tilejä, joilla on paikalliset järjestelmänvalvojan oikeudet ja heillä on aktiivisia istuntoja. Useita koneita, varastetut tunnistetiedot tarjoavat todennäköisesti saman käyttöoikeustason kuin muillakin koneilla koneet," yhtiö raportoi. "Kun kiristysohjelmalla on kelvolliset tunnistetiedot, se skannaa paikallisverkkoa kelvollisten yhteyksien luomiseksi."
NotPetya ransomware voi myös käyttää tiedosto-osuuksia moninkertaistaakseen itsensä paikallisverkossa ja saastuttaa koneita, joita ei ole korjattu EternalBlue-haavoittuvuutta vastaan. Microsoft jopa mainitsee Ikuinen Romantiikka, toinen hyväksikäyttö, jota käytetään NSA: n oletettavasti loihtimaa Server Message Block -protokollaa vastaan.
"Tämä on loistava esimerkki kahdesta haittaohjelmakomponentista, jotka yhdistyvät tuottamaan haitallisempia ja kestävämpiä haittaohjelmia", sanoi Ivantin tietoturvapäällikkö Phil Richards.
NotPetyan nopean ja laajalle levinneen hyökkäyksen lisäksi on olemassa toinenkin ongelma: maksu. Kiristysohjelma tarjoaa ponnahdusikkunan, jossa uhreja vaaditaan maksamaan 300 dollaria Bitcoineina käyttämällä tiettyä Bitcoin-osoitetta, Bitcoin-lompakkotunnusta ja henkilökohtaista asennusnumeroa. Uhrit lähettävät nämä tiedot annettuun sähköpostiosoitteeseen, joka vastaa avaimella. Sähköpostiosoite suljettiin nopeasti, kun saksalainen emopostipalveluntarjoaja Posteo huomasi sen pahan tarkoituksen.
"Saimme tietoomme, että lunnasohjelmien kiristäjät käyttävät tällä hetkellä Posteo-osoitetta yhteydenottovälineenä. Väärinkäytösten vastainen tiimimme tarkisti tämän välittömästi – ja esti tilin heti, yhtiö sanoi. "Emme suvaitse alustamme väärinkäyttöä: Väärinkäytettyjen sähköpostitilien välitön estäminen on palveluntarjoajien välttämätön lähestymistapa tällaisissa tapauksissa."
Tämä tarkoittaa, että mikään maksuyritys ei koskaan onnistuisi, vaikka maksaminen olisi haittaohjelman tavoite.
Lopuksi Microsoft ilmoittaa, että hyökkäys sai alkunsa ukrainalaisesta M.E.Doc-yrityksestä, joka on MEDoc-verolaskentaohjelmiston kehittäjä. Microsoft ei näytä osoittavan sormella, mutta sen sijaan totesi, että sillä on todisteita siitä, että "muutama aktiivinen infektio lunnasohjelmat alkoivat alun perin laillisesta MEDoc-päivitysprosessista." Microsoft toteaa, että tämäntyyppinen infektio on lisääntymässä trendi.
Mitkä järjestelmät ovat vaarassa?
Tällä hetkellä NotPetya lunnasohjelma näyttää keskittyneen organisaatioiden Windows-pohjaisten tietokoneiden hyökkäämiseen. Esimerkiksi koko Tšernobylin ydinvoimalassa sijaitseva säteilyvalvontajärjestelmä oli putosi offline-tilaan hyökkäyksessä. Täällä Yhdysvalloissa, hyökkäys iski koko Heritage Valley Health Systemiin, joka vaikuttaa kaikkiin verkkoon tukeutuviin tiloihin, mukaan lukien Beaver- ja Sewickley-sairaalat Pennsylvaniassa. Kiovan Boryspilin lentoasema Ukrainassa kärsinyt lentoaikataulusta viiveitä, ja sen verkkosivusto kaatui hyökkäyksen vuoksi.
Valitettavasti ei ole tietoja, jotka osoittaisivat tarkat Windows-versiot, joihin NotPetya ransomware on kohdistettu. Microsoftin tietoturvaraportissa ei luetella tiettyjä Windows-julkaisuja, vaikka asiakkaiden tulee olettaa varmuuden vuoksi että kaikki kaupalliset ja yleiset Windows-julkaisut, jotka kattavat Windows XP: n ja Windows 10:n, kuuluvat hyökkäyksen piiriin ikkuna. Loppujen lopuksi jopa WannaCry on kohdistettu koneisiin, joissa on asennettuna Windows XP.
Ketä suojaat itseäsi siltä?
Microsoft on jo julkaissut päivityksiä, jotka estävät tämän viimeisimmän haittaohjelmaepidemian käyttämät EternalBlue- ja EternalRomance-hyödynnät. Microsoft käsitteli molempia 14. maaliskuuta 2017 julkaisemalla tietoturvapäivitys MS17-010. Se oli yli kolme kuukautta sitten, mikä tarkoittaa, että yritykset, joihin NotPetya hyökkäsi tällä hyväksikäytöllä, eivät ole vielä päivittäneet heidän PC: nsä. Microsoft ehdottaa, että asiakkaat asentavat tietoturvapäivityksen MS17-010 välittömästi, jos he eivät ole sitä tehneet jo.
Tietoturvapäivityksen asentaminen on tehokkain tapa suojata tietokonettasi
Organisaatioille, jotka eivät vielä voi ottaa tietoturvapäivitystä käyttöön, on kaksi tapaa estää NotPetya-lunnasohjelman leviämisen: poistamalla Server Message Block -version 1 kokonaan käytöstäja/tai luoda reitittimeen tai palomuuriin sääntö, joka estää saapuvan palvelinviestien eston liikenteen portissa 445.
On yksi toinen yksinkertainen tapa ehkäistä infektioita. Aloita avaamalla File Explorer ja lataa Windowsin hakemistokansio, joka on yleensä "C:\Windows". Siellä sinun on luotava tiedosto nimeltä "perfc" (kyllä ilman päätettä) ja aseta sen käyttöoikeudet "Vain luku" -kohtaan (Yleiset/Attribuutit kautta).
Tietenkään ei ole varsinaista vaihtoehtoa luoda uutta tiedostoa Windows-hakemistoon, vain Uusi kansio -vaihtoehto. Paras tapa luoda tämä tiedosto on avata Muistio ja tallentaa tyhjä "perfc.txt"-tiedosto Windows-kansioon. Poista sen jälkeen nimestä .txt-tunniste, hyväksy ikkunan ponnahdusikkunan varoitus ja napsauta tiedostoa hiiren kakkospainikkeella muuttaaksesi sen käyttöoikeudet "Vain luku"iksi.
Siten, kun NotPetya saastuttaa tietokoneen, se tarkistaa Windows-kansiosta kyseisen tiedoston, joka on itse asiassa yksi sen omista tiedostonimistä. Jos perfc-tiedosto on jo olemassa, NotPetya olettaa, että järjestelmä on jo saastunut, ja siirtyy lepotilaan. Kuitenkin, kun tämä salaisuus on nyt julkistettu, hakkerit voivat palata piirustuspöydälle ja muuttaa NotPetya lunnasohjelman riippumaan eri tiedostosta.
Toimittajien suositukset
- Tämän pelin avulla hakkerit hyökkäävät tietokoneellesi, eikä sinun tarvitse edes pelata sitä
- Ole tuottavin näiden Slackin vinkkien ja temppujen avulla
