Cuprins
- Ce este ransomware-ul NotPetya?
- De cine te protejezi?
Ce este ransomware-ul NotPetya?
NuPetya (sau Petwrap) se bazează pe o versiune mai veche a ransomware-ul Petya, care a fost conceput inițial pentru a ține ostatice fișierele și dispozitivele la rândul lor pentru plata Bitcoin. Cu toate acestea, în ciuda Încercarea lui NotPetya de a colecta bani în atacul său global care se mișcă rapid, nu pare să fie strict pentru bani. În schimb, NotPetya criptează sistemele de fișiere ale mașinilor pentru a deteriora companiile. Aspectul ransomware este aparent doar o acoperire.
Videoclipuri recomandate
Ceea ce face NotPetya periculos este că sub frontul bazat pe ransomware se află un exploit numit EternalBlue, se presupune că este proiectat de Administrația pentru Securitate Națională a Statelor Unite (alias NSA). Acesta vizează un protocol de rețea specific, vulnerabil numit Bloc de mesaje pe server (versiunea 1) utilizat pentru partajarea de imprimante, fișiere și porturi seriale între PC-urile în rețea bazate pe Windows. Astfel, vulnerabilitatea permite atacatorilor de la distanță să trimită și să execute cod rău intenționat pe o țintă calculator. Grupul de hackeri Shadow Brokers a scurs EternalBlue în aprilie 2017.
Ransomware-ul NotPetya include, de asemenea, o componentă „vierme”. De obicei, victimele cad pradă ransomware-ului prin descărcarea și executarea programelor malware deghizate ca fișier legitim atașat la un e-mail. La rândul său, malware-ul criptează anumite fișiere și afișează o fereastră pop-up pe ecran, solicitând plata în Bitcoins pentru a debloca acele fișiere.
Cu toate acestea, ransomware-ul Petya care a apărut la începutul anului 2016 a dus acel atac cu un pas mai departe prin criptarea întregului hard al computerului. unitate sau unitatea SSD prin infectarea înregistrării master de boot, suprascriind astfel programul care începe bootarea Windows secvenţă. Acest lucru a dus la o criptare a tabelului folosit pentru a urmări toate fișiere locale (NTFS), împiedicând Windows să localizeze ceva stocat local.
În ciuda capacității sale de a cripta un întreg disc, Petya a fost capabil să infecteze doar un singur computer țintă. Totuși, așa cum se vede cu recenta epidemie WannaCry, ransomware-ul are acum capacitatea de a trece de la PC la PC pe o rețea locală fără nicio intervenție a utilizatorului. Noul ransomware NotPetya este capabil de aceeași infestare laterală a rețelei, spre deosebire de versiunea originală Petya.
Potrivit Microsoft, unul dintre vectorii de atac ai NotPetya este capacitatea sa de a fura acreditările sau de a reutiliza o sesiune activă.
„Deoarece utilizatorii se conectează frecvent folosind conturi cu privilegii de administrator local și au sesiuni active deschise în mai multe mașini, acreditările furate sunt susceptibile să ofere același nivel de acces pe care îl are utilizatorul la celelalte mașini,” raportează compania. „Odată ce ransomware-ul are acreditări valide, scanează rețeaua locală pentru a stabili conexiuni valide.”
Ransomware-ul NotPetya poate folosi, de asemenea, partajări de fișiere pentru a se multiplica în rețeaua locală și a infesta mașinile care nu sunt corectate împotriva vulnerabilității EternalBlue. Microsoft chiar menționează EternalRomance, un alt exploit folosit împotriva protocolului Server Message Block presupus evocat de NSA.
„Acesta este un exemplu grozav al a două componente malware care se unesc pentru a genera malware mai pernicios și mai rezistent”, a spus Phil Richards, ofițer șef de securitate a informațiilor Ivanti.
Pe lângă atacul rapid și larg răspândit al lui NotPetya, există o altă problemă: plata. Ransomware-ul oferă o fereastră pop-up care cere victimelor să plătească 300 USD în Bitcoins folosind o anumită adresă Bitcoin, ID-ul portofelului Bitcoin și un număr personal de instalare. Victimele trimit aceste informații la o adresă de e-mail furnizată care răspunde cu o cheie de deblocare. Acea adresă de e-mail a fost închisă rapid odată ce furnizorul de e-mail părinte german Posteo și-a descoperit intenția diabolică.
„Am aflat că șantajatorii de ransomware folosesc în prezent o adresă Posteo ca mijloc de contact. Echipa noastră anti-abuz a verificat imediat acest lucru și a blocat contul imediat.” a spus compania. „Nu tolerăm utilizarea abuzivă a platformei noastre: blocarea imediată a conturilor de e-mail utilizate greșit este abordarea necesară a furnizorilor în astfel de cazuri.”
Asta înseamnă că orice încercare de a plăti nu va ajunge niciodată, chiar dacă plata ar fi scopul malware-ului.
În cele din urmă, Microsoft indică faptul că atacul a provenit de la compania ucraineană M.E.Doc, dezvoltatorul din spatele software-ului de contabilitate fiscală MEDoc. Microsoft nu pare să arate cu degetul, ci în schimb a declarat că are dovezi că „câteva infecții active ale ransomware-ul a început inițial din procesul legitim de actualizare MEDoc.” Acest tip de infecție, notează Microsoft, este în creștere tendinţă.
Ce sisteme sunt în pericol?
Deocamdată, ransomware-ul NotPetya pare să se concentreze pe atacarea computerelor bazate pe Windows din organizații. De exemplu, întregul sistem de monitorizare a radiațiilor situat în centrala nucleară de la Cernobîl a fost lovit offline în atac. Aici, în Statele Unite, atacul a lovit întreg sistemul de sănătate Heritage Valley, afectând toate facilitățile care se bazează pe rețea, inclusiv spitalele Beaver și Sewickley din Pennsylvania. Aeroportul Kiev Boryspil din Ucraina a suferit programul de zbor întârzieri, iar site-ul său web a fost oprit din cauza atacului.
Din păcate, nu există informații care să indice versiunile exacte de Windows pe care le vizează ransomware-ul NotPetya. Raportul de securitate al Microsoft nu enumeră versiuni specifice de Windows, deși pentru a fi în siguranță, clienții ar trebui să presupună că toate versiunile comerciale și principale ale Windows de la Windows XP la Windows 10 se încadrează în atac fereastră. La urma urmei, chiar WannaCry a vizat mașini cu Windows XP instalat.
De cine te protejezi?
Microsoft a lansat deja actualizări care blochează exploit-urile EternalBlue și EternalRomance utilizate de această ultimă epidemie de malware. Microsoft le-a adresat ambelor pe 14 martie 2017, cu lansarea lui actualizare de securitate MS17-010. Asta s-a întâmplat în urmă cu mai bine de trei luni, ceea ce înseamnă că companiile atacate de NotPetya prin această exploatare trebuie încă să se actualizeze PC-urile lor. Microsoft sugerează clienților să instaleze imediat actualizarea de securitate MS17-010, dacă nu au făcut acest lucru deja.
Instalarea actualizării de securitate este cea mai eficientă modalitate de a vă proteja computerul
Pentru organizațiile care nu pot aplica încă actualizarea de securitate, există două metode care vor preveni răspândirea ransomware-ului NotPetya: dezactivând complet versiunea 1 Server Message Block, și/sau crearea unei reguli în router sau firewall care blochează traficul de intrare Server Message Block pe portul 445.
Mai este unul mod simplu de a preveni infecția. Începe prin deschiderea File Explorer și încărcarea directorului Windows, care este de obicei „C:\Windows”. Acolo va trebui să creați un fișier numit „perfc” (da fără extensie) și setați permisiunile la „Numai citire” (prin General/Atribute).
Desigur, nu există nicio opțiune reală de a crea un fișier nou în directorul Windows, doar opțiunea Dosar nou. Cel mai bun mod de a crea acest fișier este să deschideți Notepad și să salvați un fișier „perfc.txt” gol în folderul Windows. După aceea, pur și simplu ștergeți extensia „.txt” din nume, acceptați avertismentul pop-up al ferestrei și faceți clic dreapta pe fișier pentru a-i schimba permisiunile în „Numai citire”.
Astfel, atunci când NotPetya infectează un computer, acesta va scana folderul Windows pentru acel fișier specific, care este de fapt unul dintre propriile nume de fișiere. Dacă fișierul perfc este deja prezent, NotPetya presupune că sistemul este deja infectat și devine inactiv. Cu toate acestea, cu acest secret acum public, hackerii se pot întoarce la planșa de desen și pot revizui ransomware-ul NotPetya pentru a depinde de un fișier diferit.
Recomandările editorilor
- Acest joc permite hackerilor să vă atace computerul și nici măcar nu trebuie să îl jucați
- Fii cel mai productiv cu aceste sfaturi și trucuri Slack
