Obsah
- Čo je ransomvér NotPetya?
- Pred kým sa chrániš?
Čo je ransomvér NotPetya?
NiePetya (alebo Petwrap) je založený na staršej verzii ransomvér Petya, ktorý bol pôvodne navrhnutý tak, aby držal súbory a zariadenia ako rukojemníkov za bitcoinovú platbu. Avšak, napriek NiePetyov pokus zbierať peniaze vo svojom rýchlo sa rozvíjajúcom globálnom útoku sa nezdá, že by mu išlo o peniaze. Namiesto toho NotPetya šifruje súborové systémy strojov, aby poškodil spoločnosti. Aspekt ransomvéru je zrejme len zásterkou.
Odporúčané videá
Čo robí NotPetya nebezpečným, je to, že pod frontom založeným na ransomvéri sa nachádza zneužitie tzv EternalBlue, údajne navrhnutý Úradom národnej bezpečnosti Spojených štátov (známy ako NSA). Zameriava sa na špecifický, zraniteľný sieťový protokol tzv Blok správ servera (verzia 1) používaná na zdieľanie tlačiarní, súborov a sériových portov medzi sieťovými počítačmi so systémom Windows. Zraniteľnosť teda umožňuje vzdialeným útočníkom odosielať a spúšťať škodlivý kód na cieli počítač. Hackerská skupina Shadow Brokers unikli EternalBlue v apríli 2017.
Ransomvér NotPetya obsahuje aj komponent „červ“. Obete sa zvyčajne stanú obeťami ransomvéru stiahnutím a spustením malvéru maskovaného ako legitímny súbor pripojený k e-mailu. Na druhej strane malvér zašifruje konkrétne súbory a na obrazovke zverejní vyskakovacie okno, v ktorom požaduje platbu v bitcoinoch na odomknutie týchto súborov.
Ransomvér Petya, ktorý sa objavil na začiatku roka 2016, však tento útok posunul o krok ďalej tým, že zašifroval celý pevný disk počítača. disk alebo SSD infikovaním hlavného zavádzacieho záznamu, čím sa prepíše program, ktorý spúšťa zavádzanie systému Windows sekvencie. To viedlo k zašifrovaniu tabuľky používanej na sledovanie všetky lokálne súbory (NTFS), ktoré bránia systému Windows nájsť čokoľvek uložené lokálne.
Napriek svojej schopnosti zašifrovať celý disk bol Petya schopný infikovať iba jeden cieľový počítač. Avšak, ako je vidieť s nedávne prepuknutie WannaCryransomvér má teraz schopnosť presúvať sa z počítača na počítač v lokálnej sieti bez akéhokoľvek zásahu používateľa. Nový ransomvér NotPetya je schopný rovnakého bočného zamorenia siete, na rozdiel od pôvodnej verzie Petya.
Podľa Microsoftu je jedným z útokov NotPetya jeho schopnosť ukradnúť poverenia alebo opätovne použiť aktívnu reláciu.
„Pretože používatelia sa často prihlasujú pomocou účtov s oprávneniami miestneho správcu a majú otvorené aktívne relácie na viacerých počítačoch, ukradnuté poverenia pravdepodobne poskytnú rovnakú úroveň prístupu, akú má používateľ na inom stroje,“ uvádza spoločnosť. "Keď má ransomvér platné poverenia, prehľadá miestnu sieť, aby vytvoril platné pripojenia."
Ransomvér NotPetya môže tiež použiť zdieľanie súborov, aby sa rozmnožil v lokálnej sieti a zamoril počítače, ktoré nie sú opravené proti zraniteľnosti EternalBlue. Microsoft dokonca spomína Večná Romantika, ďalší exploit používaný proti protokolu Server Message Block, ktorý údajne vykúzli NSA.
"Toto je skvelý príklad dvoch komponentov škodlivého softvéru, ktoré sa spájajú, aby vytvorili zhubnejší a odolnejší malvér," povedal Ivanti, šéf informačnej bezpečnosti Phil Richards.
Okrem rýchleho a rozsiahleho útoku NotPetya existuje ďalší problém: platba. Ransomvér poskytuje vyskakovacie okno požadujúce od obetí, aby zaplatili 300 USD v bitcoinoch pomocou špecifickej bitcoinovej adresy, ID bitcoinovej peňaženky a osobného inštalačného čísla. Obete posielajú tieto informácie na poskytnutú e-mailovú adresu, ktorá odpovedá kľúčom na odomknutie. Táto e-mailová adresa bola rýchlo vypnutá, keď nemecký materský poskytovateľ e-mailových služieb Posteo zistil jej zlý úmysel.
„Dozvedeli sme sa, že vydierači ransomvéru v súčasnosti používajú ako prostriedok kontaktu adresu Posteo. Náš tím boja proti zneužívaniu to okamžite skontroloval – a účet okamžite zablokoval,“ uviedla spoločnosť. "Netolerujeme zneužitie našej platformy: Okamžité zablokovanie zneužitých e-mailových účtov je v takýchto prípadoch nevyhnutným prístupom poskytovateľov."
To znamená, že akýkoľvek pokus o platbu by nikdy neprešiel, aj keby platba bola cieľom škodlivého softvéru.
Nakoniec Microsoft uvádza, že útok pochádza od ukrajinskej spoločnosti M.E.Doc, vývojára softvéru pre daňové účtovníctvo MEDoc. Zdá sa, že Microsoft neukazuje prstom, ale namiesto toho uviedol, že má dôkaz, že „niekoľko aktívnych infekcií ransomware sa pôvodne spustil z legitímneho procesu aktualizácie MEDoc.“ Tento typ infekcie, poznamenáva Microsoft, rastie trend.
Aké systémy sú ohrozené?
V súčasnosti sa zdá, že ransomvér NotPetya sa zameriava na útoky na počítače so systémom Windows v organizáciách. Napríklad celý systém monitorovania radiácie umiestnený v jadrovej elektrárni v Černobyle bol v útoku odpadol offline. Tu v Spojených štátoch, útok zasiahla celý zdravotný systém Heritage Valley, ktorá má vplyv na všetky zariadenia, ktoré sa spoliehajú na sieť, vrátane nemocníc Beaver a Sewickley v Pensylvánii. Kyjevské letisko Boryspil na Ukrajine utrpel letový poriadok oneskorenia a jej webová stránka bola v dôsledku útoku vypnutá.
Bohužiaľ, neexistujú žiadne informácie, ktoré by poukazovali na presné verzie systému Windows, na ktoré sa NotPetya ransomware zameriava. Bezpečnostná správa spoločnosti Microsoft neuvádza konkrétne vydania systému Windows, aj keď v záujme bezpečnosti by zákazníci mali predpokladať že všetky komerčné a bežné vydania systému Windows zahŕňajúce Windows XP až Windows 10 spadajú pod útok okno. Koniec koncov, dokonca Cieľové počítače WannaCry s nainštalovaným systémom Windows XP.
Pred kým sa chrániš?
Spoločnosť Microsoft už vydala aktualizácie blokujúce exploity EternalBlue a EternalRomance, ktoré používa toto najnovšie prepuknutie škodlivého softvéru. Microsoft oslovil obe dňa 14. marca 2017 s vydaním bezpečnostná aktualizácia MS17-010. To bolo pred viac ako tromi mesiacmi, čo znamená, že spoločnosti napadnuté NotPetya prostredníctvom tohto exploitu sa ešte musia aktualizovať ich PC. Spoločnosť Microsoft odporúča zákazníkom, aby si okamžite nainštalovali aktualizáciu zabezpečenia MS17-010, ak tak neurobili už
Inštalácia aktualizácie zabezpečenia je najúčinnejším spôsobom ochrany počítača
Pre organizácie, ktoré ešte nemôžu použiť aktualizáciu zabezpečenia, existujú dva spôsoby, ktoré zabránia šíreniu ransomvéru NotPetya: úplné vypnutie Server Message Block verzie 1a/alebo vytvorenie pravidla v smerovači alebo bráne firewall, ktoré blokuje prichádzajúcu komunikáciu Server Message Block na porte 445.
Je tu ešte jeden jednoduchý spôsob, ako zabrániť infekcii. Začnite tým otvorenie Prieskumníka súborov a načítajte priečinok adresára Windows, ktorý je zvyčajne „C:\Windows“. Tam budete musieť vytvoriť súbor s názvom „perfc“ (áno bez prípony) a nastavte jeho povolenia na „Iba na čítanie“ (cez Všeobecné/Atribúty).
Samozrejme, neexistuje žiadna skutočná možnosť vytvoriť nový súbor v adresári Windows, iba možnosť Nový priečinok. Najlepší spôsob, ako vytvoriť tento súbor, je otvoriť Poznámkový blok a uložiť prázdny súbor „perfc.txt“ do priečinka Windows. Potom jednoducho odstráňte príponu „.txt“ v názve, prijmite varovanie okna okna a kliknutím pravým tlačidlom myši na súbor zmeňte jeho povolenia na „Iba na čítanie“.
Keď NotPetya infikuje počítač, prehľadá priečinok Windows pre konkrétny súbor, ktorý je v skutočnosti jedným z jeho vlastných názvov súborov. Ak je súbor perfc už prítomný, NotPetya predpokladá, že systém je už infikovaný a stane sa nečinným. S týmto tajomstvom, ktoré je teraz verejné, sa však hackeri môžu vrátiť na rysovaciu dosku a upraviť ransomvér NotPetya tak, aby závisel od iného súboru.
Odporúčania redaktorov
- Táto hra umožňuje hackerom zaútočiť na váš počítač a vy ju ani nemusíte hrať
- Buďte čo najproduktívnejší vďaka týmto tipom a trikom Slack
