Saturs
- Kas ir NotPetya izpirkuma programmatūra?
- Kuru jūs no tā aizsargājat?
Kas ir NotPetya izpirkuma programmatūra?
NotPetya (vai Petwrap) ir balstīta uz vecāku versiju Petya ransomware, kas sākotnēji bija paredzēts failu un ierīču ķīlnieku gūstā, lai veiktu Bitcoin maksājumu. Tomēr, neskatoties uz NotPetya mēģinājums iekasēt naudu tā strauji mainīgajā globālajā uzbrukumā, šķiet, ka tas nav tikai naudas mērķis. Tā vietā NotPetya šifrē mašīnu failu sistēmas, lai sabojātu uzņēmumus. Izpirkuma programmatūras aspekts acīmredzot ir tikai aizsegs.
Ieteiktie videoklipi
NotPetya bīstamu padara tas, ka zem izspiedējvīrusa priekšpuses atrodas ekspluatācija ar nosaukumu Eternal Blue, it kā izstrādājusi ASV Nacionālā drošības pārvalde (pazīstama arī kā NSA). Tā mērķis ir īpašs, neaizsargāts tīkla protokols, ko sauc Servera ziņojumu bloks (1. versija), ko izmanto printeru, failu un seriālo portu koplietošanai starp tīklā savienotiem Windows datoriem. Tādējādi ievainojamība ļauj attāliem uzbrucējiem nosūtīt un izpildīt ļaunprātīgu kodu uz mērķi dators. Hakeru grupa Shadow Brokers EternalBlue noplūda 2017. gada aprīlī.
NotPetya ransomware ietver arī “tārpu” komponentu. Parasti upuri kļūst par izspiedējprogrammatūras upuriem, lejupielādējot un izpildot ļaunprātīgu programmatūru, kas maskēta kā likumīgs e-pasta ziņojumam pievienots fails. Savukārt ļaunprogrammatūra šifrē konkrētus failus un ievieto ekrānā uznirstošo logu, pieprasot samaksu Bitcoins, lai atbloķētu šos failus.
Tomēr Petya izpirkuma programmatūra, kas parādījās 2016. gada sākumā, veica šo uzbrukumu soli tālāk, šifrējot visu datora cieto. disku vai cietvielu disku, inficējot galveno sāknēšanas ierakstu, tādējādi pārrakstot programmu, kas sāk Windows sāknēšanu secība. Tā rezultātā tika šifrēta tabula, ko izmantoja, lai izsekotu visi lokālie faili (NTFS), neļaujot Windows atrast visu, kas tiek saglabāts lokāli.
Neskatoties uz spēju šifrēt visu disku, Petya spēja inficēt tikai vienu mērķa datoru. Tomēr, kā redzams ar nesenais WannaCry uzliesmojums, izpirkuma programmatūrai tagad ir iespēja pārvietoties no datora uz datoru lokālajā tīklā bez lietotāja iejaukšanās. Atšķirībā no sākotnējās Petya versijas, jaunā NotPetya izpirkuma programmatūra spēj veikt tādu pašu sānu tīkla invāziju.
Pēc Microsoft domām, viens no NotPetya uzbrukuma vektoriem ir tā spēja nozagt akreditācijas datus vai atkārtoti izmantot aktīvo sesiju.
“Tā kā lietotāji bieži piesakās, izmantojot kontus ar vietējā administratora privilēģijām, un viņiem tiek atvērtas aktīvas sesijas Ja ir vairākas mašīnas, nozagti akreditācijas dati, visticamāk, nodrošinās tādu pašu piekļuves līmeni, kāds lietotājam ir citās ierīcēs mašīnas," uzņēmums ziņo. "Kad izspiedējprogrammatūrai ir derīgi akreditācijas dati, tā skenē vietējo tīklu, lai izveidotu derīgus savienojumus."
NotPetya ransomware var arī izmantot failu koplietošanu, lai pavairotos vietējā tīklā un inficētu iekārtas, kas nav aizsargātas pret EternalBlue ievainojamību. Microsoft pat min Mūžīgā Romantika, vēl viens noziegums, kas izmantots pret servera ziņojumu bloka protokolu, ko it kā uzbūris NSA.
"Šis ir lielisks piemērs tam, ka divi ļaunprātīgas programmatūras komponenti apvienojas, lai radītu kaitīgāku un noturīgāku ļaunprātīgu programmatūru," teikts. Ivanti galvenais informācijas drošības speciālists Fils Ričardss.
Papildus NotPetya ātrajam, plaši izplatītajam uzbrukumam pastāv vēl viena problēma: maksājums. Izpirkuma programmatūra nodrošina uznirstošo logu, kurā upuriem tiek prasīts samaksāt 300 USD Bitcoins, izmantojot noteiktu Bitcoin adresi, Bitcoin maka ID un personīgo instalācijas numuru. Upuri nosūta šo informāciju uz norādīto e-pasta adresi, kas atbild ar atbloķēšanas atslēgu. Šī e-pasta adrese tika ātri slēgta, kad Vācijas vecākais e-pasta pakalpojumu sniedzējs Posteo atklāja savu ļauno nodomu.
“Mēs uzzinājām, ka izspiedējvīrusa šantažētāji pašlaik kā saziņas līdzekli izmanto Posteo adresi. Mūsu ļaunprātīgas izmantošanas novēršanas komanda to nekavējoties pārbaudīja un nekavējoties bloķēja kontu. uzņēmums teica. "Mēs nepieļaujam mūsu platformas ļaunprātīgu izmantošanu: tūlītēja ļaunprātīgi izmantotu e-pasta kontu bloķēšana ir pakalpojumu sniedzēju pieeja šādos gadījumos."
Tas nozīmē, ka neviens mēģinājums maksāt nekad neizdosies, pat ja maksājums būtu ļaunprātīgas programmatūras mērķis.
Visbeidzot, Microsoft norāda, ka uzbrukumu izraisījis Ukrainas uzņēmums M.E.Doc, kas ir MEDoc nodokļu uzskaites programmatūras izstrādātājs. Šķiet, ka Microsoft nerāda ar pirkstiem, bet gan paziņoja, ka tai ir pierādījumi, ka “dažas aktīvas infekcijas ransomware sākotnēji sākās no likumīgā MEDoc atjaunināšanas procesa. Microsoft norāda, ka šāda veida infekcija pieaug tendence.
Kādas sistēmas ir apdraudētas?
Pašlaik šķiet, ka NotPetya izpirkuma programmatūra ir vērsta uz uzbrukumiem Windows datoriem organizācijās. Piemēram, visa radiācijas uzraudzības sistēma, kas atrodas Černobiļas atomelektrostacijā, bija uzbrukumā notriekts bezsaistē. Šeit, ASV, uzbrukums skāra visu Heritage Valley veselības sistēmu, kas ietekmē visas iekārtas, kas ir atkarīgas no tīkla, tostarp Beaver un Sewickley slimnīcas Pensilvānijā. Kijevas Borispiļas lidosta Ukrainā cieta lidojumu grafiks kavēšanās, un tās vietne uzbrukuma dēļ tika izslēgta no interneta.
Diemžēl nav informācijas, kas norādītu uz precīzām Windows versijām, uz kurām ir vērsta NotPetya izpirkuma programmatūra. Microsoft drošības pārskatā nav norādīti konkrēti Windows laidieni, lai gan, lai nodrošinātu drošību, klientiem vajadzētu pieņemt ka visas Windows komerciālās un galvenās versijas, kas aptver Windows XP līdz Windows 10, ietilpst uzbrukumā logs. Galu galā pat WannaCry paredzētas mašīnas ar instalētu Windows XP.
Kuru jūs no tā aizsargājat?
Korporācija Microsoft jau ir izdevusi atjauninājumus, kas bloķē EternalBlue un EternalRomance izmantošanu, ko izmanto šis jaunākais ļaunprātīgas programmatūras uzliesmojums. Microsoft uzrunāja abus 2017. gada 14. martā, izlaižot drošības atjauninājums MS17-010. Tas bija vairāk nekā pirms trim mēnešiem, kas nozīmē, ka uzņēmumi, kuriem NotPetya uzbruka, izmantojot šo izmantošanu, vēl nav jāatjaunina savus datorus. Microsoft iesaka klientiem nekavējoties instalēt drošības atjauninājumu MS17-010, ja viņi to nav izdarījuši jau.
Drošības atjauninājuma instalēšana ir visefektīvākais veids, kā aizsargāt datoru
Organizācijām, kuras vēl nevar lietot drošības atjauninājumu, ir divas metodes, kas novērsīs NotPetya ransomware izplatību: pilnībā atspējojot servera ziņojumu bloka versiju 1un/vai maršrutētājā vai ugunsmūrī izveidojot kārtulu, kas bloķē ienākošo servera ziņojumu bloķēšanas trafiku 445. portā.
Ir vēl viens vienkāršs veids, kā novērst infekciju. Sāciet ar atverot File Explorer un ielādējiet Windows direktoriju mapi, kas parasti ir “C:\Windows”. Tur jums būs jāizveido failu ar nosaukumu “perfc” (jā, bez paplašinājuma) un iestatiet tā atļaujas uz “Tikai lasāms” (izmantojot Vispārīgi/Atribūti).
Protams, nav reālas iespējas izveidot jaunu failu Windows direktorijā, tikai opcija Jauna mape. Labākais veids, kā izveidot šo failu, ir atvērt Notepad un saglabāt tukšu “perfc.txt” failu Windows mapē. Pēc tam nosaukumā vienkārši izdzēsiet paplašinājumu “.txt”, pieņemiet loga uznirstošo brīdinājumu un ar peles labo pogu noklikšķiniet uz faila, lai mainītu tā atļaujas uz “Tikai lasāms”.
Tādējādi, kad NotPetya inficē datoru, tā skenēs Windows mapi, lai atrastu šo konkrēto failu, kas faktiski ir viens no tā faila nosaukumiem. Ja perfc fails jau ir, NotPetya pieņem, ka sistēma jau ir inficēta, un kļūst neaktivizēta. Tomēr, ja šis noslēpums tagad ir publiski pieejams, hakeri var atgriezties pie rasēšanas dēļa un pārskatīt NotPetya izpirkuma programmatūru, lai tā būtu atkarīga no cita faila.
Redaktoru ieteikumi
- Šī spēle ļauj hakeriem uzbrukt jūsu datoram, un jums tā pat nav jāspēlē
- Esiet visproduktīvākais, izmantojot šos Slack padomus un trikus
