Innhold
- Hva er NotPetya løsepengevare?
- Hvem beskytter du deg mot det?
Hva er NotPetya løsepengevare?
Ikke Petya (eller Petwrap) er basert på en eldre versjon av Petya løsepengevare, som opprinnelig ble designet for å holde filer og enheter som gisler i sin tur for Bitcoin-betaling. Imidlertid til tross NotPetyas forsøk på å samle inn penger i sitt raske globale angrep ser det ikke ut til å være ute etter penger. I stedet krypterer NotPetya filsystemene til maskiner for å skade selskaper. Ransomware-aspektet er tilsynelatende bare et deksel.
Anbefalte videoer
Det som gjør NotPetya farlig er at under den løsepengevarebaserte fronten er en utnyttelse kalt EternalBlue, angivelig designet av USAs nasjonale sikkerhetsadministrasjon (alias NSA). Den retter seg mot en spesifikk, sårbar nettverksprotokoll kalt Servermeldingsblokk (versjon 1) brukes til å dele skrivere, filer og serielle porter mellom nettverkstilkoblede Windows-baserte PC-er. Dermed tillater sårbarheten eksterne angripere å sende og utføre ondsinnet kode på et mål datamaskin. Shadow Brokers hackergruppe lekket EternalBlue i april 2017.
NotPetya løsepengevare inkluderer også en "orm"-komponent. Vanligvis blir ofre offer for løsepengeprogramvare ved å laste ned og kjøre skadelig programvare forkledd som en legitim fil vedlagt i en e-post. På sin side krypterer skadevaren spesifikke filer og legger ut et popup-vindu på skjermen, og krever betaling i Bitcoins for å låse opp disse filene.
Imidlertid tok Petya løsepengevaren som dukket opp tidlig i 2016 angrepet et skritt videre ved å kryptere hele PC-en. stasjon eller solid state-stasjon ved å infisere hovedoppstartsposten, og dermed overskrive programmet som starter Windows-oppstarten sekvens. Dette resulterte i en kryptering av tabellen som ble brukt til å holde styr på alle lokale filer (NTFS), som hindrer Windows i å finne noe som er lagret lokalt.
Til tross for sin evne til å kryptere en hel disk, var Petya bare i stand til å infisere en enkelt mål-PC. Imidlertid, som sett med det nylige WannaCry-utbruddet, løsepengevare har nå muligheten til å flytte fra PC til PC på et lokalt nettverk uten brukerintervensjon. Den nye NotPetya løsepengevaren er i stand til den samme laterale nettverksinfestasjonen, i motsetning til den originale Petya-versjonen.
Ifølge Microsoft er en av NotPetyas angrepsvektorer dens evne til å stjele legitimasjon eller gjenbruke en aktiv økt.
"Fordi brukere ofte logger på med kontoer med lokale administratorrettigheter og har aktive økter åpner på tvers av flere maskiner, vil stjålet legitimasjon sannsynligvis gi samme tilgangsnivå som brukeren har på andre maskiner» melder selskapet. "Når løsepengevaren har gyldig legitimasjon, skanner den det lokale nettverket for å etablere gyldige tilkoblinger."
NotPetya løsepengevare kan også bruke fildelinger for å multiplisere seg selv på tvers av det lokale nettverket, og infisere maskiner som ikke er lappet mot EternalBlue-sårbarheten. Microsoft nevner til og med Evigromantikk, en annen utnyttelse som ble brukt mot Server Message Block-protokollen som angivelig fremmanes av NSA.
"Dette er et godt eksempel på to skadevarekomponenter som kommer sammen for å generere mer skadelig og motstandsdyktig skadelig programvare," sa Ivanti Chief Information Security Officer Phil Richards.
På toppen av NotPetyas raske, utbredte angrep, eksisterer det et annet problem: betaling. Ransomware gir et popup-vindu som krever at ofrene betaler $300 i Bitcoins ved å bruke en spesifikk Bitcoin-adresse, Bitcoin-lommebok-ID og personlig installasjonsnummer. Ofre sender denne informasjonen til en oppgitt e-postadresse som svarer med en opplåsingsnøkkel. Denne e-postadressen ble raskt stengt når den tyske overordnede e-postleverandøren Posteo oppdaget dens onde hensikt.
«Vi ble klar over at utpressere av løsepengevare for tiden bruker en Posteo-adresse som kontaktmiddel. Vårt anti-misbruksteam sjekket dette umiddelbart – og blokkerte kontoen umiddelbart,» sa selskapet. "Vi tolererer ikke misbruk av plattformen vår: Umiddelbar blokkering av misbrukte e-postkontoer er den nødvendige tilnærmingen fra leverandører i slike tilfeller."
Det betyr at ethvert forsøk på å betale aldri ville komme gjennom, selv om betaling var målet med skadelig programvare.
Til slutt indikerer Microsoft at angrepet stammer fra det ukrainske selskapet M.E.Doc, utvikleren bak skatteregnskapsprogramvaren MEDoc. Microsoft ser ikke ut til å peke fingre, men uttalte i stedet at de har bevis på at "noen få aktive infeksjoner av ransomware startet opprinnelig fra den legitime MEDoc-oppdateringsprosessen.» Denne typen infeksjon, bemerker Microsoft, er en voksende trend.
Hvilke systemer er i faresonen?
Foreløpig ser det ut til at NotPetya løsepengevare er fokusert på å angripe Windows-baserte PC-er i organisasjoner. For eksempel var hele strålingsovervåkingssystemet lokalisert i atomkraftverket i Tsjernobyl slått offline i angrepet. Her i USA, angrepet traff hele Heritage Valley Health System, som påvirker alle fasiliteter som er avhengige av nettverket, inkludert sykehusene Beaver og Sewickley i Pennsylvania. Kiev Boryspil flyplass i Ukraina lidd av flyruten forsinkelser, og nettstedet ble slått offline på grunn av angrepet.
Dessverre er det ingen informasjon som peker på de eksakte versjonene av Windows som NotPetya løsepengeprogramvare er rettet mot. Microsofts sikkerhetsrapport viser ikke spesifikke Windows-utgivelser, men for å være sikker bør kundene anta at alle kommersielle og mainstream-utgivelser av Windows som spenner fra Windows XP til Windows 10 faller innenfor angrepet vindu. Tross alt, til og med WannaCry-målrettede maskiner med Windows XP installert.
Hvem beskytter du deg mot det?
Microsoft har allerede gitt ut oppdateringer som blokkerer EternalBlue- og EternalRomance-utnyttelsene som ble brukt av dette siste skadevareutbruddet. Microsoft tok opp begge 14. mars 2017, med utgivelsen av sikkerhetsoppdatering MS17-010. Det var mer enn tre måneder siden, noe som betyr at selskaper angrepet av NotPetya gjennom denne utnyttelsen ennå ikke har oppdatert PC-ene deres. Microsoft foreslår at kunder installerer sikkerhetsoppdatering MS17-010 umiddelbart, hvis de ikke har gjort det allerede.
Installering av sikkerhetsoppdateringen er den mest effektive måten å beskytte PC-en på
For organisasjoner som ikke kan bruke sikkerhetsoppdateringen ennå, er det to metoder som vil forhindre spredning av NotPetya-ransomware: deaktivering av Server Message Block versjon 1 fullstendig, og/eller opprette en regel i ruteren eller brannmuren som blokkerer innkommende Server Message Block-trafikk på port 445.
Det er en annen enkel måte å forhindre infeksjon på. Start med åpne Filutforsker og laster opp Windows-katalogmappen, som vanligvis er "C:\Windows." Der må du lage en fil som heter "perfc" (ja uten utvidelse) og sett tillatelsene til "Read Only" (via Generelt/Attributter).
Selvfølgelig er det ikke noe faktisk alternativ for å lage en ny fil i Windows-katalogen, bare alternativet Ny mappe. Den beste måten å lage denne filen på er å åpne Notisblokk og lagre en tom "perfc.txt"-fil i Windows-mappen. Etter det sletter du ganske enkelt ".txt"-utvidelsen i navnet, godtar Windows popup-advarsel og høyreklikker på filen for å endre tillatelsene til "Skrivebeskyttet".
Derfor, når NotPetya infiserer en PC, vil den skanne Windows-mappen for den spesifikke filen, som faktisk er et av dens egne filnavn. Hvis perfc-filen allerede er til stede, antar NotPetya at systemet allerede er infisert, og blir sovende. Men med denne hemmeligheten nå offentlig, kan hackere gå tilbake til tegnebrettet og revidere NotPetya løsepengevaren for å være avhengig av en annen fil.
Redaktørenes anbefalinger
- Dette spillet lar hackere angripe PC-en din, og du trenger ikke engang å spille det
- Vær mest produktiv med disse Slack-tipsene og triksene
