Zawartość
- Co to jest ransomware NotPetya?
- Przed kim się chronisz?
Co to jest ransomware NotPetya?
NiePetya (lub Petwrap) jest oparty na starszej wersji ransomware Petya, który pierwotnie został zaprojektowany do przechowywania plików i urządzeń jako zakładników w celu płatności Bitcoinami. Jednak pomimo NotPetya próbuje zebrać pieniądze w swoim szybko postępującym globalnym ataku nie wydaje się, aby zależało mu wyłącznie na pieniądzach. Zamiast tego NotPetya szyfruje systemy plików maszyn, aby wyrządzić szkody firmom. Aspekt oprogramowania ransomware to najwyraźniej tylko przykrywka.
Polecane filmy
To, co sprawia, że NotPetya jest niebezpieczna, to fakt, że pod fasadą oprogramowania ransomware kryje się exploit zwany wieczny niebieski, rzekomo zaprojektowany przez Administrację Bezpieczeństwa Narodowego Stanów Zjednoczonych (znaną również jako NSA). Jego celem jest specyficzny, podatny na ataki protokół sieciowy zwany Blok komunikatów serwera (wersja 1) używana do udostępniania drukarek, plików i portów szeregowych pomiędzy komputerami z systemem Windows podłączonymi do sieci. W związku z tym luka umożliwia zdalnym atakującym wysłanie i wykonanie szkodliwego kodu na celu komputer. Grupa hakerska Shadow Brokers wyciekł EternalBlue w kwietniu 2017 r.
Ransomware NotPetya zawiera również komponent „robaka”. Zazwyczaj ofiary padają ofiarą oprogramowania ransomware, pobierając i uruchamiając złośliwe oprogramowanie podszywające się pod legalny plik załączony do wiadomości e-mail. Z kolei szkodliwe oprogramowanie szyfruje określone pliki i wyświetla na ekranie wyskakujące okienko z żądaniem zapłaty w Bitcoinach za odblokowanie tych plików.
Jednak oprogramowanie ransomware Petya, które pojawiło się na początku 2016 roku, posunęło ten atak o krok dalej, szyfrując cały dysk twardy komputera dysku SSD lub dysku SSD, infekując główny rekord rozruchowy, zastępując w ten sposób program rozpoczynający rozruch systemu Windows sekwencja. Spowodowało to zaszyfrowanie tabeli używanej do śledzenia Wszystko pliki lokalne (NTFS), uniemożliwiając systemowi Windows zlokalizowanie czegokolwiek przechowywanego lokalnie.
Pomimo możliwości zaszyfrowania całego dysku, Petya był w stanie zainfekować tylko jeden komputer docelowy. Jednakże, jak widać z niedawną epidemię wirusa WannaCryransomware może teraz przenosić się z komputera na komputer w sieci lokalnej bez jakiejkolwiek interwencji użytkownika. Nowe oprogramowanie ransomware NotPetya jest zdolne do tej samej bocznej inwazji sieci, w przeciwieństwie do oryginalnej wersji Petya.
Według Microsoftu jednym z wektorów ataku NotPetya jest jego zdolność do kradzieży danych uwierzytelniających lub ponownego wykorzystania aktywnej sesji.
„Ponieważ użytkownicy często logują się przy użyciu kont z uprawnieniami administratora lokalnego i mają otwarte aktywne sesje wielu komputerach, skradzione dane uwierzytelniające prawdopodobnie zapewnią ten sam poziom dostępu, jaki użytkownik ma na innych komputerach maszyny” – podaje firma. „Gdy ransomware uzyska prawidłowe dane uwierzytelniające, skanuje sieć lokalną w celu nawiązania prawidłowych połączeń”.
Ransomware NotPetya może również wykorzystywać udziały plików do rozmnażania się w sieci lokalnej i infekować komputery, które nie zostały załatane pod kątem luki EternalBlue. Microsoft nawet o tym wspomina Wieczny romans, kolejny exploit wykorzystany przeciwko protokołowi Server Message Block, rzekomo wymyślonemu przez NSA.
„To doskonały przykład połączenia dwóch składników złośliwego oprogramowania, które tworzą bardziej szkodliwe i odporne złośliwe oprogramowanie” – stwierdził Dyrektor ds. bezpieczeństwa informacji Ivanti, Phil Richards.
Oprócz szybkiego i powszechnego ataku NotPetya istnieje inny problem: płatność. Ransomware wyświetla wyskakujące okienko żądające od ofiary zapłacenia 300 dolarów w Bitcoinach przy użyciu określonego adresu Bitcoin, identyfikatora portfela Bitcoin i osobistego numeru instalacji. Ofiary wysyłają te informacje na podany adres e-mail, który w odpowiedzi przesyła klucz odblokowujący. Ten adres e-mail został szybko zamknięty, gdy niemiecki dostawca poczty e-mail dla rodziców, Posteo, odkrył jego złe zamiary.
„Dowiedzieliśmy się, że szantażujący oprogramowanie ransomware wykorzystują obecnie adres Posteo jako środek kontaktu. Nasz zespół ds. zwalczania nadużyć natychmiast to sprawdził i od razu zablokował konto” podała firma. „Nie tolerujemy niewłaściwego korzystania z naszej platformy: natychmiastowe blokowanie niewłaściwie używanych kont e-mail jest w takich przypadkach niezbędnym podejściem dostawców”.
Oznacza to, że jakakolwiek próba zapłaty nigdy nie zostanie zrealizowana, nawet jeśli celem złośliwego oprogramowania była płatność.
Wreszcie Microsoft wskazuje, że atak został zainicjowany przez ukraińską firmę M.E.Doc, twórcę oprogramowania do księgowania podatków MEDoc. Wygląda na to, że Microsoft nie wskazywał palcami, zamiast tego stwierdził, że ma dowód na to, że „kilka aktywnych infekcji oprogramowania Ransomware początkowo uruchamiało się z legalnego procesu aktualizacji MEdoc.” Jak zauważa Microsoft, liczba tego typu infekcji rośnie tendencja.
Jakie systemy są zagrożone?
Na razie wydaje się, że ransomware NotPetya koncentruje się na atakowaniu komputerów PC z systemem Windows w organizacjach. Na przykład cały system monitorowania promieniowania zlokalizowany w elektrowni jądrowej w Czarnobylu porzucony w trybie offline w wyniku ataku. Tutaj, w Stanach Zjednoczonych, atak uderzył w cały system opieki zdrowotnej Heritage Valley, wpływając na wszystkie placówki korzystające z sieci, w tym szpitale Beaver i Sewickley w Pensylwanii. Lotnisko Kijów Boryspol na Ukrainie ucierpiał rozkład lotów opóźnień, a w wyniku ataku jego witryna internetowa została wyłączona z trybu offline.
Niestety, nie ma informacji wskazujących na dokładną wersję systemu Windows, na którą atakuje ransomware NotPetya. Raport bezpieczeństwa firmy Microsoft nie zawiera listy konkretnych wersji systemu Windows, chociaż dla bezpieczeństwa klienci powinni to założyć że wszystkie komercyjne i główne wydania systemu Windows, od Windows XP do Windows 10, podlegają atakowi okno. Przecież nawet Celem WannaCry były komputery z zainstalowanym systemem Windows XP.
Przed kim się chronisz?
Firma Microsoft wydała już aktualizacje blokujące exploity EternalBlue i EternalRomance wykorzystywane przez najnowszą epidemię złośliwego oprogramowania. Firma Microsoft odniosła się do obu kwestii 14 marca 2017 r., wydając aktualizacja zabezpieczeń MS17-010. To było ponad trzy miesiące temu, co oznacza, że firmy zaatakowane przez NotPetya za pomocą tego exploita nie zaktualizowały jeszcze swoich danych ich komputery. Firma Microsoft sugeruje, aby klienci natychmiast zainstalowali aktualizację zabezpieczeń MS17-010, jeśli jeszcze tego nie zrobili już.
Zainstalowanie aktualizacji zabezpieczeń to najskuteczniejszy sposób ochrony komputera
W przypadku organizacji, które nie mogą jeszcze zastosować aktualizacji zabezpieczeń, istnieją dwie metody zapobiegania rozprzestrzenianiu się oprogramowania ransomware NotPetya: całkowicie wyłączając blok komunikatów serwera w wersji 1i/lub utworzenie reguły w routerze lub zaporze sieciowej, która blokuje przychodzący ruch Server Message Block na porcie 445.
Jest jeszcze jeden prosty sposób na uniknięcie infekcji. Zacząć od otwierając Eksplorator plików i ładowanie folderu katalogu Windows, który zwykle jest „C:\Windows”. Tam będziesz musiał utworzyć plik o nazwie „perfc” (tak, bez rozszerzenia) i ustaw jego uprawnienia na „Tylko do odczytu” (poprzez Ogólne/Atrybuty).
Oczywiście nie ma faktycznej opcji utworzenia nowego pliku w katalogu Windows, jest tylko opcja Nowy folder. Najlepszym sposobem na utworzenie tego pliku jest otwarcie Notatnika i zapisanie pustego pliku „perfc.txt” w folderze Windows. Następnie po prostu usuń rozszerzenie „.txt” z nazwy, zaakceptuj wyskakujące ostrzeżenie systemu Windows i kliknij plik prawym przyciskiem myszy, aby zmienić jego uprawnienia na „Tylko do odczytu”.
Zatem, gdy NotPetya infekuje komputer, skanuje folder Windows w poszukiwaniu tego konkretnego pliku, który w rzeczywistości jest jedną z jego własnych nazw. Jeśli plik perfc już istnieje, NotPetya zakłada, że system jest już zainfekowany i przechodzi w stan uśpienia. Jednakże, gdy ta tajemnica jest teraz publiczna, hakerzy mogą wrócić do deski kreślarskiej i zmienić oprogramowanie ransomware NotPetya tak, aby zależało od innego pliku.
Zalecenia redaktorów
- Ta gra pozwala hakerom zaatakować Twój komputer, a Ty nawet nie musisz w nią grać
- Bądź maksymalnie produktywny, korzystając z porad i wskazówek dotyczących Slacka
