Kako zaščititi svoj računalnik pred izsiljevalsko programsko opremo NotPetya

Ne Petya izsiljevalska programska oprema
Trend Micro
26. junija 2017 nova vrsta izsiljevalske programske opreme, imenovana NotPetya začeli napadati računalniške sisteme po vsem svetu. Prvotno je ciljal na glavne sisteme v Ukrajini, vključno z bankami, poštnimi storitvami, letališči, energetskimi podjetji in drugimi. Toda hitro se je razširil izven svojega ciljnega območja in se razširil v 64 držav, vključno z Brazilijo, Nemčijo, Rusijo in celo Združenimi državami. Ogledamo si, kaj je ta izsiljevalska programska oprema NotPetya, kateri sistemi so prizadeti in kako se lahko zaščitite pred tem posebnim napadom.

Vsebina

  • Kaj je izsiljevalska programska oprema NotPetya?
  • Pred kom se zaščitite?

Kaj je izsiljevalska programska oprema NotPetya?

NePetya (oz Petwrap) temelji na starejši različici izsiljevalsko programsko opremo Petya, ki je bil prvotno zasnovan za shranjevanje datotek in naprav kot talcev za plačilo z bitcoini. Vendar kljub NotPetyin poskus zbiranja denarja v svojem hitro premikajočem se globalnem napadu se zdi, da ni izključno za denar. Namesto tega NotPetya šifrira datotečne sisteme strojev, da bi poškodoval podjetja. Vidik izsiljevalske programske opreme je očitno le krinka.

Priporočeni videoposnetki

NotPetya je nevarna zaradi tega, ker je pod sprednjo stranjo, ki temelji na izsiljevalski programski opremi, izkoriščanje, imenovano EternalBlue, domnevno oblikovala ameriška uprava za nacionalno varnost (aka NSA). Cilja na določen, ranljiv omrežni protokol, imenovan Blok sporočil strežnika (različica 1), ki se uporablja za skupno rabo tiskalnikov, datotek in serijskih vrat med omrežnimi osebnimi računalniki z operacijskim sistemom Windows. Tako ranljivost oddaljenim napadalcem omogoča pošiljanje in izvajanje zlonamerne kode na tarči računalnik. Hekerska skupina Shadow Brokers aprila 2017 pricurljal EternalBlue.

Izsiljevalska programska oprema NotPetya vključuje tudi komponento »črva«. Običajno žrtve postanejo žrtev izsiljevalske programske opreme tako, da prenesejo in zaženejo zlonamerno programsko opremo, prikrito kot zakonita datoteka, pripeta v e-poštnem sporočilu. Zlonamerna programska oprema nato šifrira določene datoteke in na zaslonu objavi pojavno okno, ki zahteva plačilo v bitcoinih za odklepanje teh datotek.

Vendar pa je izsiljevalska programska oprema Petya, ki se je pojavila v začetku leta 2016, naredila ta napad še korak dlje s šifriranjem celotnega trdega računalnika ali pogon SSD tako, da okuži glavni zagonski zapis in tako prepiše program, ki začne zagon sistema Windows. zaporedje. To je povzročilo šifriranje tabele, ki se uporablja za sledenje vse lokalne datoteke (NTFS), kar Windowsu preprečuje, da bi našel vse, kar je lokalno shranjeno.

Kljub zmožnosti šifriranja celotnega diska je Petya lahko okužila samo en ciljni računalnik. Vendar, kot je razvidno iz nedavni izbruh WannaCry, ima izsiljevalska programska oprema zdaj možnost premikanja iz računalnika v računalnik v lokalnem omrežju brez posredovanja uporabnika. Nova izsiljevalska programska oprema NotPetya je za razliko od prvotne različice Petya sposobna enake stranske okužbe v omrežju.

Po mnenju Microsofta je eden od vektorjev napada NotPetya njegova zmožnost kraje poverilnic ali ponovne uporabe aktivne seje.

»Ker se uporabniki pogosto prijavljajo z računi z lokalnimi skrbniškimi pravicami in imajo odprte aktivne seje več računalnikov, ukradene poverilnice verjetno zagotavljajo enako raven dostopa, kot jo ima uporabnik na drugih stroji,« družba poroča. "Ko ima izsiljevalska programska oprema veljavne poverilnice, skenira lokalno omrežje, da vzpostavi veljavne povezave."

Izsiljevalska programska oprema NotPetya lahko uporablja tudi skupno rabo datotek, da se razmnoži po lokalnem omrežju in okuži stroje, ki niso zakrpani proti ranljivosti EternalBlue. Microsoft celo omenja EternalRomance, še en izkoriščanje, ki se uporablja proti protokolu Server Message Block, ki naj bi ga ustvarila NSA.

"To je odličen primer dveh komponent zlonamerne programske opreme, ki se združita, da ustvarita bolj škodljivo in odporno zlonamerno programsko opremo," je dejal Direktor Ivantija za informacijsko varnost Phil Richards.

Poleg hitrega in razširjenega napada NotPetya obstaja še en problem: plačilo. Izsiljevalska programska oprema ponuja pojavno okno, v katerem žrtve zahtevajo plačilo 300 USD v bitcoinih z uporabo določenega naslova Bitcoin, ID-ja denarnice Bitcoin in osebne številke namestitve. Žrtve te podatke pošljejo na navedeni e-poštni naslov, ki odgovori s ključem za odklepanje. Ta e-poštni naslov je bil hitro zaprt, ko je nemški matični ponudnik e-pošte Posteo odkril njegov zloben namen.

»Ugotovili smo, da izsiljevalci trenutno uporabljajo naslov Posteo kot sredstvo za stik. Naša ekipa za boj proti zlorabam je to takoj preverila – in takoj blokirala račun,« je dejala družba. "Ne dopuščamo zlorabe naše platforme: takojšnje blokiranje zlorabljenih e-poštnih računov je nujen pristop ponudnikov v takih primerih."

To pomeni, da noben poskus plačila ne bi nikoli uspel, tudi če bi bilo plačilo cilj zlonamerne programske opreme.

Končno Microsoft navaja, da je napad izviral iz ukrajinskega podjetja M.E.Doc, razvijalca programske opreme za davčno računovodstvo MEDoc. Zdi se, da Microsoft ne kaže s prstom, temveč je izjavil, da ima dokaze, da je "nekaj aktivnih okužb izsiljevalska programska oprema se je prvotno začela iz zakonitega postopka posodabljanja MEDoc.« Ta vrsta okužbe, ugotavlja Microsoft, narašča trend.

Kateri sistemi so ogroženi?

Za zdaj se zdi, da je izsiljevalska programska oprema NotPetya osredotočena na napad na osebne računalnike z operacijskim sistemom Windows v organizacijah. Na primer, celoten sistem za spremljanje sevanja v jedrski elektrarni v Černobilu je bil v napadu onemogočen. Tukaj v Združenih državah, napad udaril po celotnem zdravstvenem sistemu Heritage Valley, ki vpliva na vse ustanove, ki so odvisne od omrežja, vključno z bolnišnicama Beaver in Sewickley v Pensilvaniji. Kijevsko letališče Borispil v Ukrajini trpel urnik letenja zamude, njegovo spletno mesto pa je zaradi napada prekinjeno.

Na žalost ni informacij, ki bi kazale na točne različice sistema Windows, na katere cilja izsiljevalska programska oprema NotPetya. Microsoftovo varnostno poročilo ne navaja določenih izdaj sistema Windows, čeprav bi morali kupci domnevati, da so varni da vse komercialne in običajne izdaje operacijskega sistema Windows, ki obsegajo Windows XP do Windows 10, spadajo v napad okno. Navsezadnje celo WannaCry cilja na stroje z nameščenim operacijskim sistemom Windows XP.

Pred kom se zaščitite?

Microsoft je že izdal posodobitve, ki blokirajo izkoriščanja EternalBlue in EternalRomance, ki jih uporablja ta najnovejši izbruh zlonamerne programske opreme. Microsoft je oba obravnaval 14. marca 2017 z izdajo varnostna posodobitev MS17-010. To je bilo pred več kot tremi meseci, kar pomeni, da podjetja, ki jih je napadel NotPetya s tem izkoriščanjem, še niso posodobila njihovih osebnih računalnikih. Microsoft predlaga, da stranke takoj namestijo varnostno posodobitev MS17-010, če tega še niso storile že.

Namestitev varnostne posodobitve je najučinkovitejši način za zaščito vašega računalnika

Za organizacije, ki še ne morejo uporabiti varnostne posodobitve, obstajata dve metodi, ki bosta preprečili širjenje izsiljevalske programske opreme NotPetya: popolno onemogočanje bloka sporočil strežnika različice 1in/ali ustvarjanje pravila v usmerjevalniku ali požarnem zidu, ki blokira dohodno sporočilo strežnika Blokiraj promet na vratih 445.

Obstaja še ena preprost način za preprečevanje okužbe. Začni z odpiranje File Explorerja in nalaganje mape imenika Windows, ki je običajno »C:\Windows«. Tam boste morali ustvariti datoteko z imenom »perfc« (da, brez končnice) in nastavite njena dovoljenja na »Samo za branje« (prek Splošno/Atributi).

Seveda ni dejanske možnosti za ustvarjanje nove datoteke v imeniku Windows, samo možnost Nova mapa. Najboljši način za ustvarjanje te datoteke je, da odprete beležnico in shranite prazno datoteko »perfc.txt« v mapo Windows. Po tem preprosto izbrišite pripono ».txt« v imenu, sprejmite pojavno opozorilo programa Window in z desno miškino tipko kliknite datoteko, da spremenite njena dovoljenja na »Samo za branje«.

Tako bo NotPetya, ko okuži računalnik, pregledal mapo Windows za to določeno datoteko, ki je pravzaprav eno od njegovih lastnih imen datotek. Če je datoteka perfc že prisotna, NotPetya domneva, da je sistem že okužen, in postane neaktiven. Ker pa je ta skrivnost zdaj javna, se lahko hekerji vrnejo k risalni deski in pregledajo izsiljevalsko programsko opremo NotPetya, da bo odvisna od druge datoteke.

Priporočila urednikov

  • Ta igra hekerjem omogoča napad na vaš računalnik in vam je sploh ni treba igrati
  • Bodite najbolj produktivni s temi nasveti in triki Slack