Содержание
- Что такое программа-вымогатель NotPetya?
- От кого вы защищаете себя от этого?
Что такое программа-вымогатель NotPetya?
НеПетя (или Petwrap) основан на более старой версии программа-вымогатель Petya, который изначально был разработан для хранения файлов и устройств в качестве заложников для оплаты биткойнов. Однако, несмотря на Попытка NotPetya собрать деньги В своей быстро развивающейся глобальной атаке она, похоже, не стремится исключительно к деньгам. Вместо этого NotPetya шифрует файловые системы машин, чтобы нанести ущерб компаниям. Аспект вымогателей, по-видимому, является лишь прикрытием.
Рекомендуемые видео
Что делает NotPetya опасным, так это то, что под прикрытием программ-вымогателей скрывается эксплойт под названием Вечный Синий, предположительно разработан Администрацией национальной безопасности США (также известной как АНБ). Он нацелен на конкретный уязвимый сетевой протокол, называемый Блок сообщений сервера (версия 1) используется для совместного использования принтеров, файлов и последовательных портов между сетевыми компьютерами под управлением Windows. Таким образом, уязвимость позволяет удаленным злоумышленникам отправлять и выполнять вредоносный код на цели. компьютер. Хакерская группа Shadow Brokers утечка EternalBlue в апреле 2017 года.
Программа-вымогатель NotPetya также включает в себя компонент «червь». Обычно жертвы становятся жертвами программ-вымогателей, загружая и запуская вредоносное ПО, замаскированное под настоящий файл, вложенный в электронное письмо. В свою очередь, вредоносная программа шифрует определенные файлы и отображает на экране всплывающее окно, требуя оплату в биткойнах для разблокировки этих файлов.
Однако программа-вымогатель Petya, появившаяся в начале 2016 года, пошла дальше в этой атаке, зашифровав весь жесткий диск ПК. диск или твердотельный накопитель, заразив главную загрузочную запись, перезаписав таким образом программу, которая начинает загрузку Windows. последовательность. Это привело к шифрованию таблицы, используемой для отслеживания все локальные файлы (NTFS), не позволяя Windows найти что-либо, хранящееся локально.
Несмотря на способность зашифровать весь диск, Petya был способен заразить только один целевой компьютер. Однако, как видно с недавняя вспышка WannaCry, программы-вымогатели теперь могут перемещаться с компьютера на компьютер по локальной сети без какого-либо вмешательства пользователя. Новая программа-вымогатель NotPetya способна к такому же боковому заражению сети, в отличие от оригинальной версии Petya.
По данным Microsoft, одним из векторов атаки NotPetya является его способность красть учетные данные или повторно использовать активный сеанс.
«Поскольку пользователи часто входят в систему, используя учетные записи с правами локального администратора, и активные сеансы открываются через нескольких машинах, украденные учетные данные, скорее всего, обеспечат тот же уровень доступа, что и на других машинах. машины», сообщает компания. «Как только программа-вымогатель получит действительные учетные данные, она сканирует локальную сеть, чтобы установить действительные соединения».
Программа-вымогатель NotPetya также может использовать общие файловые ресурсы для распространения по локальной сети и заражать компьютеры, на которых не установлена уязвимость EternalBlue. Microsoft даже упоминает ВечныйРомантика, еще один эксплойт, используемый против протокола блокировки сообщений сервера, предположительно созданного АНБ.
«Это отличный пример того, как два компонента вредоносного ПО объединяются для создания более вредоносного и устойчивого вредоносного ПО», — сказал он. Иванти, директор по информационной безопасности Фил Ричардс.
Помимо быстрой и широкомасштабной атаки NotPetya, существует еще одна проблема: оплата. Программа-вымогатель отображает всплывающее окно, требующее от жертв заплатить 300 долларов в биткойнах, используя определенный биткойн-адрес, идентификатор биткойн-кошелька и личный установочный номер. Жертвы отправляют эту информацию на указанный адрес электронной почты, на который отвечает ключ разблокировки. Этот адрес электронной почты был быстро закрыт, как только немецкий материнский почтовый провайдер Posteo обнаружил его злой умысел.
«Нам стало известно, что шантажисты-вымогатели в настоящее время используют адрес Posteo в качестве средства связи. Наша команда по борьбе со злоупотреблениями немедленно проверила это и сразу же заблокировала аккаунт». компания сказала. «Мы не терпим неправомерного использования нашей платформы: немедленная блокировка неправильно используемых учетных записей электронной почты является необходимым подходом со стороны провайдеров в таких случаях».
Это означает, что любая попытка оплаты никогда не состоится, даже если оплата была целью вредоносного ПО.
Наконец, Microsoft указывает, что атака была организована украинской компанией M.E.Doc, разработчиком программного обеспечения для налогового учета MEDoc. Microsoft, похоже, не стала указывать пальцем, но вместо этого заявила, что у нее есть доказательства того, что «несколько активных заражений программа-вымогатель изначально запускалась из законного процесса обновления MEDoc». Этот тип заражения, отмечает Microsoft, становится все более растущим. тенденция.
Какие системы находятся под угрозой?
На данный момент программа-вымогатель NotPetya, похоже, ориентирована на атаки на компьютеры под управлением Windows в организациях. Например, вся система радиационного контроля, расположенная на Чернобыльской АЭС, была вырубился в атаке. Здесь, в Соединенных Штатах, нападение ударил по всей системе здравоохранения долины наследия, что затронуло все учреждения, подключенные к сети, включая больницы Бивер и Сьюикли в Пенсильвании. Киевский аэропорт Борисполь в Украине. пострадал график полетов задержки, а ее веб-сайт был отключен из-за атаки.
К сожалению, нет никакой информации, указывающей на точные версии Windows, на которые нацелен вымогатель NotPetya. В отчете Microsoft о безопасности не перечислены конкретные выпуски Windows, хотя в целях безопасности клиентам следует предполагать, что что все коммерческие и основные выпуски Windows, начиная с Windows XP и заканчивая Windows 10, подпадают под атаку. окно. Ведь даже Целевые машины WannaCry с установленной Windows XP.
От кого вы защищаете себя от этого?
Microsoft уже выпустила обновления, блокирующие эксплойты EternalBlue и EternalRomance, используемые в этой последней вспышке вредоносного ПО. Microsoft обратилась к обоим 14 марта 2017 г., выпустив обновление безопасности MS17-010. Это было более трех месяцев назад, а это означает, что компании, атакованные NotPetya с помощью этого эксплойта, еще не обновили свои данные. их ПК. Microsoft предлагает клиентам немедленно установить обновление безопасности MS17-010, если они этого не сделали. уже.
Установка обновления безопасности — наиболее эффективный способ защитить ваш компьютер.
Для организаций, которые пока не могут применить обновление безопасности, есть два метода предотвращения распространения программы-вымогателя NotPetya: полное отключение блока сообщений сервера версии 1и/или создание правила в маршрутизаторе или брандмауэре, которое блокирует входящий трафик блокировки сообщений сервера на порту 445.
есть еще один простой способ предотвратить заражение. Начать с открытие проводника и загрузите папку каталога Windows, обычно это «C:\Windows». Там вам нужно будет создать файл с именем «perfc» (да, без расширения) и установите для него разрешения «Только чтение» (через «Общие/Атрибуты»).
Конечно, реальной возможности создать новый файл в каталоге Windows нет, есть только опция «Новая папка». Лучший способ создать этот файл — открыть Блокнот и сохранить пустой файл «perfc.txt» в папке Windows. После этого просто удалите расширение «.txt» в имени, примите всплывающее предупреждение Windows и щелкните файл правой кнопкой мыши, чтобы изменить его разрешения на «Только чтение».
Таким образом, когда NotPetya заражает компьютер, он сканирует папку Windows в поисках этого конкретного файла, который на самом деле является одним из его собственных имен. Если файл perfc уже присутствует, NotPetya предполагает, что система уже заражена, и переходит в режим ожидания. Однако теперь, когда этот секрет стал общедоступным, хакеры могут вернуться к чертежной доске и пересмотреть программу-вымогатель NotPetya, чтобы она зависела от другого файла.
Рекомендации редакции
- Эта игра позволяет хакерам атаковать ваш компьютер, и вам даже не нужно в нее играть.
- Будьте максимально продуктивны с помощью этих советов и рекомендаций по Slack
