תוכן
- מהי תוכנת הכופר של NotPetya?
- מי אתה מגן על עצמך מפני זה?
מהי תוכנת הכופר של NotPetya?
לא פטיה (או Petwrap) מבוסס על גרסה ישנה יותר של תוכנת הכופר של Petya, אשר תוכנן במקור להחזיק קבצים ומכשירים כבני ערובה בתורו לתשלום ביטקוין. עם זאת, למרות הניסיון של NotPetya לאסוף כסף בהתקפה הגלובלית המהירה שלה, נראה שהיא לא מחפשת כסף. במקום זאת, NotPetya מצפינה את מערכות הקבצים של מכונות כדי לפגוע בחברות. היבט תוכנת הכופר הוא כנראה רק כיסוי.
סרטונים מומלצים
מה שהופך את NotPetya למסוכן הוא שמתחת לחזית מבוססת תוכנות הכופר יש ניצול שנקרא כחול נצחי, תוכנן לכאורה על ידי המינהל לביטחון לאומי של ארצות הברית (המכונה גם ה-NSA). הוא מכוון לפרוטוקול רשת ספציפי ופגיע הנקרא
חסימת הודעות שרת (גרסה 1) משמשת לשיתוף מדפסות, קבצים ויציאות טוריות בין מחשבים מבוססי Windows ברשת. לפיכך, הפגיעות מאפשרת לתוקפים מרוחקים לשלוח ולהפעיל קוד זדוני על מטרה מַחשֵׁב. קבוצת ההאקרים Shadow Brokers הדליף את EternalBlue באפריל 2017.תוכנת הכופר NotPetya כוללת גם רכיב "תולעת". בדרך כלל, קורבנות נופלים טרף לתוכנת כופר על ידי הורדה וביצוע של תוכנות זדוניות במסווה של קובץ לגיטימי המצורף בדוא"ל. בתורו, התוכנה הזדונית מצפינה קבצים ספציפיים ומפרסמת חלון קופץ על המסך, ודורשת תשלום בביטקוין כדי לפתוח את הקבצים האלה.
עם זאת, תוכנת הכופר של Petya שהופיעה בתחילת 2016 לקחה את המתקפה צעד קדימה על ידי הצפנת כל המחשב הקשיח של המחשב. כונן או כונן מצב מוצק על ידי הדבקת רשומת האתחול הראשית, ובכך מחליפים את התוכנית שמתחילה את האתחול של Windows סדר פעולות. זה הביא להצפנה של הטבלה המשמשת לעקוב אחריה את כל קבצים מקומיים (NTFS), המונעים מ-Windows לאתר כל דבר המאוחסן באופן מקומי.
למרות יכולתה להצפין דיסק שלם, Petya הצליחה להדביק רק מחשב יעד בודד. עם זאת, כפי שנראה עם ההתפרצות האחרונה של WannaCry, לתוכנת כופר יש כעת את היכולת לעבור ממחשב למחשב ברשת מקומית ללא כל התערבות משתמש. תוכנת הכופר החדשה של NotPetya מסוגלת לאותה התפשטות רשת רוחבית, בניגוד לגרסה המקורית של Petya.
לפי מיקרוסופט, אחד מקוקטורי ההתקפה של NotPetya הוא היכולת שלה לגנוב אישורים או לעשות שימוש חוזר בהפעלה פעילה.
"מכיוון שמשתמשים מתחברים לעתים קרובות באמצעות חשבונות עם הרשאות אדמין מקומיים ויש להם הפעלות פעילות פתוחות ברחבי מספר מכונות, אישורים גנובים עשויים לספק את אותה רמת גישה שיש למשתמש באחרים מכונות", החברה מדווחת. "ברגע שלתוכנת הכופר יש אישורים חוקיים, היא סורקת את הרשת המקומית כדי ליצור חיבורים חוקיים."
תוכנת הכופר של NotPetya יכולה גם להשתמש בשיתופי קבצים כדי להכפיל את עצמה ברחבי הרשת המקומית, ולפגוע במכונות שאינן מתוקנות כנגד הפגיעות EternalBlue. מיקרוסופט אפילו מזכירה רומנטיקה נצחית, ניצול נוסף בשימוש נגד פרוטוקול Server Message Block שהועלה כביכול על ידי ה-NSA.
"זוהי דוגמה מצוינת לשני רכיבי תוכנה זדונית שמתחברים יחד כדי ליצור תוכנות זדוניות מזיקות וגמישות יותר", אמר קצין אבטחת המידע הראשי של איבנטי, פיל ריצ'רדס.
נוסף על המתקפה המהירה והרחבה של NotPetya, קיימת בעיה נוספת: תשלום. תוכנת הכופר מספקת חלון קופץ הדורש מהקורבנות לשלם 300 דולר בביטקוין באמצעות כתובת ביטקוין ספציפית, מזהה ארנק ביטקוין ומספר התקנה אישי. הקורבנות שולחים מידע זה לכתובת דוא"ל מסופקת המגיבה עם מפתח ביטול נעילה. כתובת הדוא"ל הזו נסגרה במהירות ברגע שספקית הדוא"ל הגרמנית Posteo גילתה את כוונתה הרעה.
"נודע לנו שסחטני כופר משתמשים כעת בכתובת Posteo כאמצעי ליצירת קשר. הצוות שלנו נגד שימוש לרעה בדק את זה מיד - וחסם את החשבון מיד", אמרה החברה. "איננו סובלים שימוש לרעה בפלטפורמה שלנו: חסימה מיידית של חשבונות אימייל שנעשה בהם שימוש לרעה היא הגישה הנחוצה של ספקים במקרים כאלה."
זה אומר שכל ניסיון לשלם לעולם לא יצליח, גם אם התשלום היה מטרת התוכנה הזדונית.
לבסוף, מיקרוסופט מציינת שמקור המתקפה היא חברת M.E.Doc האוקראינית, המפתחת מאחורי תוכנת חשבונאות המס MEDoc. נראה שמיקרוסופט לא מפנה אצבעות, אלא ציינה שיש לה הוכחה ש"כמה זיהומים אקטיביים של תוכנת כופר התחילה בתחילה מתהליך העדכון הלגיטימי של MEDoc." סוג זה של זיהום, מציינת מיקרוסופט, הולך וגדל מְגַמָה.
אילו מערכות נמצאות בסיכון?
לעת עתה, נראה כי תוכנת הכופר של NotPetya מתמקדת בתקיפת מחשבים מבוססי Windows בארגונים. לדוגמה, כל מערכת ניטור הקרינה הממוקמת בתחנת הכוח הגרעינית בצ'רנוביל הייתה דפק במצב לא מקוון בהתקפה. כאן בארצות הברית, המתקפה פגע בכל מערכת הבריאות של עמק המורשת, המשפיע על כל המתקנים המסתמכים על הרשת, כולל בתי החולים ביבר וסוויקלי בפנסילבניה. נמל התעופה קייב בוריספיל באוקראינה סבל מלוח זמנים של טיסות עיכובים, ואתר האינטרנט שלה נדפק לא מקוון עקב המתקפה.
למרבה הצער, אין מידע המצביע על הגירסאות המדויקות של Windows שאליהן מכוונת תוכנת הכופר NotPetya. דוח האבטחה של מיקרוסופט אינו מפרט מהדורות ספציפיות של Windows, אם כי ליתר ביטחון, הלקוחות צריכים להניח שכל המהדורות המסחריות והמיינסטרים של Windows המשתרעות על Windows XP עד Windows 10 נופלות במסגרת המתקפה חַלוֹן. אחרי הכל, אפילו מחשבים ממוקדים של WannaCry עם Windows XP מותקן.
מי אתה מגן על עצמך מפני זה?
מיקרוסופט כבר הוציאה עדכונים החוסמים את הניצול EternalBlue ו-EternalRomance ששימשו את התפרצות התוכנה הזדונית האחרונה הזו. מיקרוסופט התייחסה לשניהם ב-14 במרץ 2017, עם שחרורו של עדכון אבטחה MS17-010. זה היה לפני יותר משלושה חודשים, כלומר חברות שהותקפו על ידי NotPetya באמצעות הניצול הזה עדיין לא עדכנו המחשבים האישיים שלהם. Microsoft מציעה ללקוחות להתקין את עדכון האבטחה MS17-010 באופן מיידי, אם לא עשו זאת כְּבָר.
התקנת עדכון האבטחה היא הדרך היעילה ביותר להגן על המחשב האישי שלך
עבור ארגונים שעדיין לא יכולים להחיל את עדכון האבטחה, ישנן שתי שיטות שימנעו את התפשטות תוכנת הכופר של NotPetya: השבתת שרת Message Block גרסה 1 לחלוטין, ו/או יצירת כלל בנתב או בחומת האש שחוסמת תעבורת חסימת הודעות שרת נכנסת ביציאה 445.
יש אחד אחר דרך פשוטה למנוע זיהום. התחל ב פתיחת סייר הקבצים וטעינת תיקיית Windows, שהיא בדרך כלל "C:\Windows." שם תצטרך ליצור קובץ בשם "perfc" (כן ללא סיומת) והגדר את ההרשאות שלו ל"קריאה בלבד" (באמצעות כללי/מאפיינים).
כמובן, אין אפשרות ממשית ליצור קובץ חדש בספריית Windows, רק האפשרות New Folder. הדרך הטובה ביותר ליצור קובץ זה היא לפתוח את Notepad ולשמור קובץ "perfc.txt" ריק בתיקיית Windows. לאחר מכן, פשוט מחק את הסיומת ".txt" בשם, קבל את האזהרה הקופצת של Window, ולחץ באמצעות לחצן העכבר הימני על הקובץ כדי לשנות את ההרשאות שלו ל"קריאה בלבד".
לפיכך, כאשר NotPetya מדביק מחשב, הוא יסרוק את תיקיית Windows עבור הקובץ הספציפי הזה, שהוא למעשה אחד משמות הקבצים שלו. אם קובץ perfc כבר קיים, NotPetya מניח שהמערכת כבר נגועה, והופכת למצב רדום. עם זאת, כשהסוד הזה פומבי כעת, האקרים עשויים לחזור ללוח השרטוטים ולשנות את תוכנת הכופר של NotPetya כך שתהיה תלויה בקובץ אחר.
המלצות עורכים
- המשחק הזה מאפשר להאקרים לתקוף את המחשב האישי שלך, ואתה אפילו לא צריך לשחק בו
- היה הכי פרודוקטיבי שלך עם הטיפים והטריקים האלה של Slack
