შინაარსი
- რა არის NotPetya გამოსასყიდი პროგრამა?
- ვინ იცავ თავს მისგან?
რა არის NotPetya გამოსასყიდი პროგრამა?
ნოტპეტია (ან Petwrap) ეფუძნება ძველ ვერსიას პეტიას გამოსასყიდი პროგრამა, რომელიც თავდაპირველად შექმნილი იყო ფაილებისა და მოწყობილობების მძევლად შესანახად ბიტკოინის გადახდისთვის. თუმცა, მიუხედავად არაპეტიას ფულის შეგროვების მცდელობა მისი სწრაფი გლობალური შეტევის დროს, როგორც ჩანს, ის არ არის მკაცრად ფულის გამო. ამის ნაცვლად, NotPetya შიფრავს მანქანების ფაილურ სისტემებს კომპანიების დაზიანების მიზნით. გამოსასყიდი პროგრამის ასპექტი აშკარად მხოლოდ საფარია.
რეკომენდებული ვიდეოები
რაც NotPetya-ს სახიფათო ხდის არის ის, რომ გამოსასყიდ პროგრამაზე დაფუძნებული ფრონტის ქვეშ არის ექსპლოიტი ე.წ. მარადიული ლურჯი, სავარაუდოდ შექმნილია შეერთებული შტატების ეროვნული უსაფრთხოების ადმინისტრაციის (ანუ NSA) მიერ. ის მიზნად ისახავს კონკრეტულ, დაუცველ ქსელურ პროტოკოლს, რომელსაც ე.წ სერვერის შეტყობინებების ბლოკი (ვერსია 1) გამოიყენება პრინტერების, ფაილების და სერიული პორტების გასაზიარებლად ქსელურ Windows-ზე დაფუძნებულ კომპიუტერებს შორის. ამრიგად, დაუცველობა საშუალებას აძლევს დისტანციურ თავდამსხმელებს გაგზავნონ და შეასრულონ მავნე კოდი სამიზნეზე კომპიუტერი. Shadow Brokers ჰაკერების ჯგუფი EternalBlue გაჟონა 2017 წლის აპრილში.
NotPetya ransomware ასევე შეიცავს "ჭია" კომპონენტს. როგორც წესი, მსხვერპლი ხდება გამოსასყიდის მსხვერპლად ელ.წერილში მიმაგრებული მავნე პროგრამის ჩამოტვირთვისა და შესრულებით. თავის მხრივ, მავნე პროგრამა შიფრავს კონკრეტულ ფაილებს და აქვეყნებს ამომხტარ ფანჯარას ეკრანზე, რომელიც ითხოვს გადახდას ბიტკოინებით ამ ფაილების განბლოკვისთვის.
თუმცა, Petya-ს გამოსასყიდმა პროგრამამ, რომელიც გამოჩნდა 2016 წლის დასაწყისში, ეს შეტევა კიდევ უფრო წინ წაიწია, კომპიუტერის მთელი მყარი დაშიფვრით. დისკი ან მყარი მდგომარეობის დისკი ძირითადი ჩატვირთვის ჩანაწერის ინფიცირებით, რითაც გადაიწერება პროგრამა, რომელიც იწყებს Windows-ის ჩატვირთვას თანმიმდევრობა. ამან გამოიწვია ცხრილის დაშიფვრა, რომელიც გამოიყენება თვალყურის დევნებისთვის ყველა ლოკალური ფაილები (NTFS), რაც ხელს უშლის Windows-ს ლოკალურად შენახული ნივთების დადგენაში.
მთელი დისკის დაშიფვრის უნარის მიუხედავად, პეტიას მხოლოდ ერთი სამიზნე კომპიუტერის დაინფიცირება შეეძლო. თუმცა, როგორც ჩანს ბოლო WannaCry აფეთქება, ransomware-ს აქვს შესაძლებლობა გადავიდეს კომპიუტერიდან კომპიუტერზე ლოკალურ ქსელში მომხმარებლის ყოველგვარი ჩარევის გარეშე. ახალ NotPetya გამოსასყიდ პროგრამას შეუძლია იგივე გვერდითი ქსელის შემოტევა, განსხვავებით Petya-ს ორიგინალური ვერსიისგან.
Microsoft-ის თანახმად, NotPetya-ს შეტევის ერთ-ერთი ვექტორი არის მისი უნარი მოიპაროს სერთიფიკატები ან ხელახლა გამოიყენოს აქტიური სესია.
„იმიტომ, რომ მომხმარებლები ხშირად შედიან ანგარიშების გამოყენებით ადგილობრივი ადმინისტრატორის პრივილეგიებით და აქვთ აქტიური სესიების გახსნა მრავალი მანქანა, მოპარული რწმუნებათა სიგელები, სავარაუდოდ, უზრუნველყოფს იმავე დონის წვდომას, რაც მომხმარებელს აქვს სხვაზე მანქანები", ინფორმაციას კომპანია ავრცელებს. „როდესაც გამოსასყიდ პროგრამას ექნება მოქმედი რწმუნებათა სიგელები, ის სკანირებს ადგილობრივ ქსელს სწორი კავშირების დასამყარებლად“.
NotPetya ransomware-ს ასევე შეუძლია გამოიყენოს ფაილების გაზიარება ლოკალურ ქსელში გასამრავლებლად და დაასვენოს მანქანები, რომლებიც არ არის დაყენებული EternalBlue დაუცველობის წინააღმდეგ. Microsoft კი აღნიშნავს მარადიული რომანტიკა, კიდევ ერთი ექსპლოიტი, რომელიც გამოიყენება სერვერის შეტყობინებების ბლოკის პროტოკოლის წინააღმდეგ, რომელიც სავარაუდოდ შეიქმნა NSA-ს მიერ.
„ეს არის კარგი მაგალითი იმისა, რომ ორი მავნე პროგრამის კომპონენტი გაერთიანდა უფრო მავნე და ელასტიური მავნე პროგრამის შესაქმნელად“, - თქვა. ივანტის ინფორმაციული უსაფრთხოების მთავარი ოფიცერი ფილ რიჩარდსი.
NotPetya-ს სწრაფი, ფართო შეტევის გარდა, არსებობს კიდევ ერთი პრობლემა: გადახდა. გამოსასყიდი პროგრამა უზრუნველყოფს ამომხტარ ფანჯარას, რომელიც მოითხოვს მსხვერპლს გადაიხადონ 300 აშშ დოლარი ბიტკოინებში კონკრეტული ბიტკოინის მისამართის, ბიტკოინის საფულის ID-ის და პირადი ინსტალაციის ნომრის გამოყენებით. დაზარალებულები აგზავნიან ამ ინფორმაციას მითითებულ ელფოსტის მისამართზე, რომელიც პასუხობს განბლოკვის გასაღებით. ელ.ფოსტის ეს მისამართი სწრაფად დაიხურა მას შემდეგ, რაც გერმანელმა ელ.ფოსტის პროვაიდერმა Posteo-მ აღმოაჩინა მისი ბოროტი განზრახვა.
„ჩვენ გავიგეთ, რომ გამოსასყიდი პროგრამების შანტაჟისტები ამჟამად იყენებენ Posteo-ს მისამართს, როგორც კონტაქტის საშუალებას. ჩვენმა ძალადობის საწინააღმდეგო ჯგუფმა დაუყოვნებლივ შეამოწმა ეს - და მაშინვე დაბლოკა ანგარიში. ” განაცხადა კომპანიამ. „ჩვენ არ მოვითმენთ ჩვენი პლატფორმის ბოროტად გამოყენებას: არასწორად გამოყენებული ელ.ფოსტის ანგარიშების დაუყოვნებელი დაბლოკვა არის პროვაიდერების საჭირო მიდგომა ასეთ შემთხვევებში.
ეს ნიშნავს, რომ გადახდის ნებისმიერი მცდელობა არასოდეს განხორციელდება, თუნდაც გადახდა იყოს მავნე პროგრამის მიზანი.
დაბოლოს, Microsoft მიუთითებს, რომ თავდასხმა წარმოიშვა უკრაინულმა კომპანიამ M.E.Doc-მა, დეველოპერმა MEDoc საგადასახადო აღრიცხვის პროგრამული უზრუნველყოფის უკან. როგორც ჩანს, მაიკროსოფტი თითებს არ იშვერს, მაგრამ ამის ნაცვლად განაცხადა, რომ მას აქვს მტკიცებულება, რომ „რამდენიმე აქტიური ინფექცია ransomware თავდაპირველად დაიწყო MEDoc განახლების ლეგიტიმური პროცესიდან. ამ ტიპის ინფექცია, აღნიშნავს Microsoft-ი, მზარდია ტენდენცია.
რა სისტემებია რისკის ქვეშ?
ამ დროისთვის, NotPetya გამოსასყიდი პროგრამა, როგორც ჩანს, ორიენტირებულია ორგანიზაციებში Windows-ზე დაფუძნებულ კომპიუტერებზე თავდასხმაზე. მაგალითად, ჩერნობილის ატომურ ელექტროსადგურში მდებარე რადიაციული მონიტორინგის მთელი სისტემა იყო შეტევაში ოფლაინში დაარტყა. აქ, შეერთებულ შტატებში, თავდასხმა მოხვდა Heritage Valley ჯანდაცვის სისტემაში, გავლენას ახდენს ყველა ობიექტზე, რომელიც ეყრდნობა ქსელს, მათ შორის Beaver და Sewickley საავადმყოფოებს პენსილვანიაში. კიევის ბორისპილის აეროპორტი უკრაინაში დაზარალდა ფრენის განრიგი შეფერხებები და მისი ვებ-გვერდი შეტევის გამო გათიშული იყო.
სამწუხაროდ, არ არსებობს ინფორმაცია, რომელიც მიუთითებს Windows-ის ზუსტ ვერსიებზე, რომელსაც NotPetya გამოსასყიდი პროგრამა მიზნად ისახავს. Microsoft-ის უსაფრთხოების ანგარიშში არ არის ჩამოთვლილი Windows-ის კონკრეტული გამოშვებები, თუმცა, რომ უსაფრთხო იყოს, მომხმარებლებმა უნდა იფიქრონ რომ Windows-ის ყველა კომერციული და ძირითადი გამოშვება, რომელიც მოიცავს Windows XP-დან Windows 10-მდე, შედის თავდასხმაში ფანჯარა. ბოლოს და ბოლოს, თუნდაც WannaCry მიზნობრივი მანქანები დაინსტალირებული Windows XP-ით.
ვინ იცავ თავს მისგან?
Microsoft-მა უკვე გამოსცა განახლებები, რომლებიც ბლოკავს EternalBlue და EternalRomance ექსპლოიტებს, რომლებიც გამოიყენება ამ უახლესი მავნე პროგრამის დროს. Microsoft-მა ორივე მიმართა 2017 წლის 14 მარტს, გამოშვებით უსაფრთხოების განახლება MS17-010. ეს იყო სამ თვეზე მეტი ხნის წინ, რაც იმას ნიშნავს, რომ კომპანიებს, რომლებსაც დაესხნენ NotPetya ამ ექსპლოიტის მეშვეობით, ჯერ არ განახლებულა მათი კომპიუტერები. მაიკროსოფტი სთავაზობს მომხმარებლებს დაუყოვნებლივ დააინსტალირონ უსაფრთხოების განახლება MS17-010, თუ ეს არ გაუკეთებიათ უკვე.
უსაფრთხოების განახლების ინსტალაცია თქვენი კომპიუტერის დაცვის ყველაზე ეფექტური გზაა
იმ ორგანიზაციებისთვის, რომლებსაც ჯერ არ შეუძლიათ უსაფრთხოების განახლების გამოყენება, არსებობს ორი მეთოდი, რომელიც ხელს შეუშლის NotPetya გამოსასყიდის გავრცელებას: სერვერის შეტყობინებების ბლოკის 1 ვერსიის მთლიანად გამორთვა, და/ან როუტერში ან ფეიერვოლში წესის შექმნა, რომელიც ბლოკავს შემომავალ სერვერის შეტყობინებას 445-ე პორტზე ტრაფიკის დაბლოკვა.
არის კიდევ ერთი მარტივი გზა ინფექციის თავიდან ასაცილებლად. დაიწყეთ File Explorer-ის გახსნა და იტვირთება Windows დირექტორია საქაღალდე, რომელიც ჩვეულებრივ არის "C:\Windows". იქ დაგჭირდებათ შექმნა ფაილი სახელად „perfc“ (დიახ გაფართოების გარეშე) და დააყენეთ მისი ნებართვები „მხოლოდ წაკითხვაზე“ (ზოგადი/ატრიბუტების მეშვეობით).
რა თქმა უნდა, არ არსებობს რეალური ვარიანტი Windows დირექტორიაში ახალი ფაილის შესაქმნელად, მხოლოდ ახალი საქაღალდის ვარიანტი. ამ ფაილის შესაქმნელად საუკეთესო გზაა Notepad-ის გახსნა და ცარიელი “perfc.txt” ფაილის შენახვა Windows საქაღალდეში. ამის შემდეგ, უბრალოდ წაშალეთ „.txt“ გაფართოება სახელში, მიიღეთ ფანჯრის ამომხტარი გაფრთხილება და დააწკაპუნეთ ფაილზე მარჯვენა ღილაკით, რომ შეცვალოთ მისი ნებართვები „მხოლოდ წაკითხვაზე“.
ამრიგად, როდესაც NotPetya აინფიცირებს კომპიუტერს, ის სკანირებს Windows-ის საქაღალდეს ამ კონკრეტული ფაილისთვის, რომელიც რეალურად მისი ფაილის ერთ-ერთი სახელია. თუ perfc ფაილი უკვე არსებობს, NotPetya ვარაუდობს, რომ სისტემა უკვე ინფიცირებულია და ხდება მიძინებული. თუმცა, ამ საიდუმლოს ახლა საჯაროდ, ჰაკერებს შეუძლიათ დაბრუნდნენ ნახაზის დაფაზე და გადახედონ NotPetya გამოსასყიდ პროგრამას, რათა დამოკიდებული იყოს სხვა ფაილზე.
რედაქტორების რეკომენდაციები
- ეს თამაში საშუალებას აძლევს ჰაკერებს შეუტიონ თქვენს კომპიუტერს და თქვენ არც კი გჭირდებათ მისი თამაში
- იყავი ყველაზე პროდუქტიული Slack-ის ამ რჩევებითა და ხრიკებით
