Sadržaj
- Što je NotPetya ransomware?
- Od koga se štitite?
Što je NotPetya ransomware?
Ne Petja (ili Kućni ljubimac) temelji se na starijoj verziji ransomware Petya, koji je izvorno dizajniran da drži datoteke i uređaje kao taoce za Bitcoin plaćanje. Međutim, unatoč NotPetyin pokušaj prikupljanja novca u svom brzom globalnom napadu, ne čini se da je striktno u potrazi za novcem. Umjesto toga, NotPetya šifrira datotečne sustave strojeva kako bi oštetio tvrtke. Aspekt ransomwarea je očito samo paravan.
Preporučeni videozapisi
Ono što NotPetyu čini opasnim je to što se ispod prednje strane temeljene na ransomware-u nalazi exploit tzv Vječnoplava, navodno dizajnirala Uprava za nacionalnu sigurnost Sjedinjenih Država (poznata i kao NSA). Cilja na određeni, ranjivi mrežni protokol tzv Blok poruka poslužitelja (verzija 1) koristi se za dijeljenje pisača, datoteka i serijskih priključaka između umreženih računala temeljenih na sustavu Windows. Stoga ranjivost omogućuje udaljenim napadačima da pošalju i izvrše zlonamjerni kod na meti Računalo. Hakerska skupina Shadow Brokers procurio je EternalBlue u travnju 2017.
NotPetya ransomware također uključuje komponentu "crva". Obično žrtve postaju žrtve ransomwarea preuzimanjem i pokretanjem zlonamjernog softvera prerušenog u legitimnu datoteku priloženu e-poruci. Zauzvrat, zlonamjerni softver šifrira određene datoteke i objavljuje skočni prozor na ekranu, zahtijevajući plaćanje u bitcoinima za otključavanje tih datoteka.
Međutim, Petya ransomware koji se pojavio početkom 2016. odveo je taj napad korak dalje šifrirajući cijeli hard računala pogon ili SSD disk zarazom glavnog zapisa za pokretanje sustava, čime se prebriše program koji započinje pokretanje sustava Windows slijed. To je rezultiralo šifriranjem tablice koja se koristi za praćenje svi lokalne datoteke (NTFS), sprječavajući Windows da locira sve što je pohranjeno lokalno.
Unatoč sposobnosti šifriranja cijelog diska, Petya je bila sposobna zaraziti samo jedno ciljano računalo. Međutim, kao što se vidi s nedavna epidemija WannaCry, ransomware sada ima mogućnost prelaska s računala na računalo na lokalnoj mreži bez intervencije korisnika. Novi ransomware NotPetya sposoban je za istu bočnu zarazu mrežom, za razliku od izvorne Petya verzije.
Prema Microsoftu, jedan od vektora napada NotPetya je njegova sposobnost krađe vjerodajnica ili ponovne upotrebe aktivne sesije.
"Budući da se korisnici često prijavljuju koristeći račune s povlasticama lokalnog administratora i imaju otvorene aktivne sesije više strojeva, ukradene vjerodajnice vjerojatno će pružiti istu razinu pristupa koju korisnik ima na drugim uređajima strojevi,” izvještava tvrtka. "Kad ransomware ima valjane vjerodajnice, skenira lokalnu mrežu kako bi uspostavio valjane veze."
Otkupni softver NotPetya također može koristiti dijeljenje datoteka kako bi se umnožio preko lokalne mreže i zarazio strojeve koji nisu zakrpani protiv ranjivosti EternalBlue. Microsoft čak spominje Vječna Romantika, još jedan exploit korišten protiv protokola Server Message Block koji je navodno izmislio NSA.
"Ovo je sjajan primjer spajanja dviju komponenti zlonamjernog softvera kako bi se stvorio opasniji i otporniji zlonamjerni softver", rekao je Direktor Ivantija za informacijsku sigurnost Phil Richards.
Uz NotPetyin brzi, rašireni napad, postoji još jedan problem: plaćanje. Ransomware nudi skočni prozor koji zahtijeva od žrtava da plate 300 USD u Bitcoinima koristeći određenu Bitcoin adresu, ID Bitcoin novčanika i osobni broj instalacije. Žrtve šalju te informacije na dostavljenu adresu e-pošte koja odgovara ključem za otključavanje. Ta je adresa e-pošte brzo zatvorena nakon što je njemački matični pružatelj usluge e-pošte Posteo otkrio njezinu zlu namjeru.
“Postali smo svjesni da ucjenjivači ransomwarea trenutno koriste Posteo adresu kao sredstvo kontakta. Naš tim za borbu protiv zlouporabe odmah je to provjerio – i odmah blokirao račun,” tvrtka je rekao. "Ne toleriramo zlouporabu naše platforme: Trenutačno blokiranje zloupotrijebljenih računa e-pošte neophodan je pristup pružatelja usluga u takvim slučajevima."
To znači da svaki pokušaj plaćanja nikada ne bi uspio, čak i ako je plaćanje cilj zlonamjernog softvera.
Konačno, Microsoft ukazuje da je napad potekao od ukrajinske tvrtke M.E.Doc, razvojnog programera koji stoji iza softvera za porezno računovodstvo MEDoc. Čini se da Microsoft ne upire prstom, već je umjesto toga izjavio da ima dokaz da je "nekoliko aktivnih infekcija ransomware je inicijalno pokrenut iz legitimnog procesa ažuriranja MEDoc.” Ova vrsta infekcije, napominje Microsoft, raste trend.
Koji su sustavi u opasnosti?
Za sada se čini da je ransomware NotPetya fokusiran na napade na računala temeljena na Windowsu u organizacijama. Na primjer, cijeli sustav za praćenje radijacije smješten u nuklearnoj elektrani Černobil bio je izbačen iz mreže u napadu. Ovdje u Sjedinjenim Državama, napad pogodio cijeli zdravstveni sustav Heritage Valley, što utječe na sve ustanove koje se oslanjaju na mrežu, uključujući bolnice Beaver i Sewickley u Pennsylvaniji. Kijevska zračna luka Borispil u Ukrajini pretrpio red letenja kašnjenja, a njegova je web stranica zbog napada prekinuta s internetom.
Nažalost, nema informacija koje upućuju na točne verzije sustava Windows koje NotPetya ransomware cilja. Microsoftovo sigurnosno izvješće ne navodi određena izdanja sustava Windows, iako bi kupci trebali pretpostaviti da bi bili sigurni da sva komercijalna i mainstream izdanja sustava Windows koja obuhvaćaju Windows XP do Windows 10 spadaju u napad prozor. Uostalom, čak WannaCry je ciljao na strojeve s instaliranim Windows XP.
Od koga se štitite?
Microsoft je već izdao ažuriranja koja blokiraju eksploatacije EternalBlue i EternalRomance koje koristi ova najnovija epidemija zlonamjernog softvera. Microsoft se obojici obratio 14. ožujka 2017. izdavanjem sigurnosno ažuriranje MS17-010. To je bilo prije više od tri mjeseca, što znači da tvrtke koje je NotPetya napao putem ovog exploita tek trebaju ažurirati njihova računala. Microsoft predlaže korisnicima da odmah instaliraju sigurnosno ažuriranje MS17-010 ako to nisu učinili već.
Instaliranje sigurnosnog ažuriranja najučinkovitiji je način zaštite vašeg računala
Za organizacije koje još ne mogu primijeniti sigurnosno ažuriranje, postoje dvije metode koje će spriječiti širenje ransomwarea NotPetya: potpuno onemogućavanje bloka poruka poslužitelja verzije 1i/ili stvaranje pravila u usmjerivaču ili vatrozidu koje blokira dolazni promet poruka poslužitelja Blokiraj na priključku 445.
Postoji još jedan jednostavan način za sprječavanje infekcije. Počni od otvaranje File Explorera i učitavanje mape Windows direktorija, koja je obično "C:\Windows." Tamo ćete morati stvoriti datoteku pod nazivom “perfc” (da, bez ekstenzije) i postavite njezina dopuštenja na “Samo za čitanje” (putem Općenito/Atributi).
Naravno, ne postoji stvarna opcija za stvaranje nove datoteke u Windows direktoriju, samo opcija Nova mapa. Najbolji način za stvaranje ove datoteke je da otvorite Notepad i spremite praznu datoteku "perfc.txt" u mapu Windows. Nakon toga jednostavno izbrišite ekstenziju ".txt" u nazivu, prihvatite skočno upozorenje Windowa i desnom tipkom miša kliknite datoteku da promijenite dopuštenja u "Samo za čitanje".
Stoga, kada NotPetya zarazi računalo, skenirat će Windows mapu u potrazi za tom određenom datotekom, koja je zapravo jedan od njegovih vlastitih naziva datoteka. Ako je perfc datoteka već prisutna, NotPetya pretpostavlja da je sustav već zaražen i postaje neaktivan. Međutim, s ovom tajnom koja je sada javna, hakeri se mogu vratiti na ploču za crtanje i revidirati NotPetya ransomware kako bi ovisio o drugoj datoteci.
Preporuke urednika
- Ova igra omogućuje hakerima da napadnu vaše računalo, a vi je čak ne morate igrati
- Budite najproduktivniji uz ove Slack savjete i trikove
