Садржај
- Шта је НотПетиа рансомваре?
- Кога се штитите од тога?
Шта је НотПетиа рансомваре?
НотПетиа (или Петврап) је заснован на старијој верзији Петиа рансомваре, који је првобитно био дизајниран да држи датотеке и уређаје као таоце заузврат за Битцоин плаћање. Међутим, упркос НеПетијин покушај да прикупи новац у свом брзом глобалном нападу, чини се да не тежи искључиво новцу. Уместо тога, НотПетиа шифрује системе датотека машина како би оштетила компаније. Аспект рансомваре-а је очигледно само параван.
Препоручени видео снимци
Оно што НотПетиа чини опасним је то што се испод фронта заснованог на рансомваре-у налази експлоатација тзв. ЕтерналБлуе, наводно је дизајнирала Управа за националну безбедност Сједињених Држава (позната као НСА). Циља на специфичан, рањив мрежни протокол тзв Блок порука сервера (верзија 1) који се користи за дељење штампача, датотека и серијских портова између умрежених рачунара заснованих на Виндовс-у. Стога, рањивост омогућава удаљеним нападачима да пошаљу и изврше злонамерни код на мети рачунар. Хакерска група Схадов Брокерс је процурио ЕтерналБлуе у априлу 2017.
НотПетиа рансомваре такође укључује компоненту „црва“. Обично жртве постају жртве рансомваре-а преузимањем и извршавањем злонамерног софтвера прерушеног у легитимну датотеку приложену у е-поруци. Заузврат, злонамерни софтвер шифрује одређене датотеке и поставља искачући прозор на екрану, захтевајући плаћање у биткоинима за откључавање тих датотека.
Међутим, Петиа рансомвер који се појавио почетком 2016. године направио је тај напад корак даље шифровањем целокупног хард рачунара диск или ССД уређај инфицирањем главног записа за покретање, чиме се преписује програм који започиње покретање Виндовс-а низ. Ово је резултирало шифровањем табеле која се користи за праћење све локалне датотеке (НТФС), спречавајући Виндовс да лоцира било шта што је локално ускладиштено.
Упркос својој способности да шифрује цео диск, Петиа је била способна да зарази само један циљни рачунар. Међутим, као што се види са недавна епидемија ВаннаЦри, рансомваре сада има могућност преласка са рачунара на рачунар на локалној мрежи без икакве интервенције корисника. Нови НотПетиа рансомваре је способан за исту бочну инфестацију мреже, за разлику од оригиналне Петиа верзије.
Према Мицрософт-у, један од вектора напада НотПетиа је његова способност да украде акредитиве или поново користи активну сесију.
„Зато што се корисници често пријављују користећи налоге са локалним администраторским привилегијама и имају отворене активне сесије широм више машина, украдени акредитиви ће вероватно обезбедити исти ниво приступа који корисник има на другим уређајима машине“, компанија извештава. „Када рансомваре има важеће акредитиве, он скенира локалну мрежу да би успоставио важеће везе.“
НотПетиа рансомваре такође може да користи дељене фајлове да би се умножио на локалној мрежи и заразио машине које нису закрпљене против ЕтерналБлуе рањивости. Мицрософт чак помиње ЕтерналРоманце, још један експлоат који се користи против протокола Сервер Мессаге Блоцк који је наводно осмислила НСА.
„Ово је одличан пример да се две компоненте злонамерног софтвера удружују да генеришу погубнији и отпорнији малвер“, рекао је Иванти, шеф информационе безбедности Фил Ричардс.
Поврх брзог, широко распрострањеног напада НотПетиа, постоји још један проблем: плаћање. Рансомвер пружа искачући прозор који захтева од жртава да плате 300 долара у биткоинима користећи одређену Битцоин адресу, ИД биткоин новчаника и лични број за инсталацију. Жртве шаљу ове информације на дату адресу е-поште која одговара кључем за откључавање. Та адреса е-поште је брзо угашена када је немачки родитељ Постео открио своју злу намеру.
„Постали смо свесни да уцењивачи рансомваре-а тренутно користе Постео адресу као средство за контакт. Наш тим за борбу против злоупотребе је то одмах проверио – и одмах блокирао налог“, саопштила је компанија. „Не толеришемо злоупотребу наше платформе: тренутно блокирање злоупотребљених налога е-поште је неопходан приступ провајдера у таквим случајевима.
То значи да сваки покушај плаћања никада не би прошао, чак и ако је плаћање циљ злонамерног софтвера.
На крају, Мицрософт указује да је напад настао од украјинске компаније М.Е.Доц, програмера који стоји иза софтвера за пореско рачуноводство МЕДоц. Чини се да Мицрософт не упире прстом, већ је уместо тога навео да има доказ да „неколико активних инфекција рансомваре је првобитно започео од легитимног процеса ажурирања МЕДоц.“ Ова врста инфекције, примећује Мицрософт, расте тренд.
Који системи су у опасности?
За сада се чини да је НотПетиа рансомваре фокусиран на нападе на рачунаре засноване на Виндовс-у у организацијама. На пример, цео систем за праћење радијације који се налази у нуклеарној електрани Чернобил је био искључен у нападу. Овде у Сједињеним Државама, напад погодио цео здравствени систем Херитаге Валлеи, што утиче на све објекте који се ослањају на мрежу, укључујући болнице Беавер и Севицклеи у Пенсилванији. Кијевски аеродром Бориспил у Украјини претрпео ред летења кашњења, а његова веб страница је искључена због напада.
Нажалост, нема информација које указују на тачне верзије оперативног система Виндовс на које циља НотПетиа рансомваре. Мицрософтов безбедносни извештај не наводи конкретна издања оперативног система Виндовс, иако би купци требало да претпоставе да би били сигурни да сва комерцијална и мејнстрим издања Виндовс-а која обухватају Виндовс КСП до Виндовс 10 спадају у напад прозор. На крају крајева, чак ВаннаЦри циљане машине са инсталираним Виндовс КСП.
Кога се штитите од тога?
Мицрософт је већ издао исправке које блокирају експлоатације ЕтерналБлуе и ЕтерналРоманце које користи ова најновија епидемија малвера. Мицрософт се обратио и једнима и другима 14. марта 2017. издавањем безбедносна исправка МС17-010. То је било пре више од три месеца, што значи да компаније које је НотПетиа напао кроз овај експлоат тек треба да се ажурирају њихове рачунаре. Мицрософт предлаже да купци одмах инсталирају безбедносну исправку МС17-010, ако то нису урадили већ.
Инсталирање безбедносне исправке је најефикаснији начин да заштитите рачунар
За организације које још увек не могу да примене безбедносно ажурирање, постоје две методе које ће спречити ширење НотПетиа рансомвера: потпуно онемогућавање Сервер Мессаге Блоцк верзије 1, и/или креирање правила у рутеру или заштитном зиду које блокира долазну поруку сервера блокира саобраћај на порту 445.
Постоји још један једноставан начин за спречавање инфекције. Старт би отварање Филе Екплорер и учитавање фасцикле Виндовс директоријума, која је обично „Ц:\Виндовс. Тамо ћете морати да креирате датотеку под називом „перфц“ (да без екстензије) и подесите њене дозволе на „Само за читање“ (преко Генерал/Аттрибутес).
Наравно, не постоји стварна опција за креирање нове датотеке у Виндовс директоријуму, само опција Нова фасцикла. Најбољи начин да креирате ову датотеку је да отворите Нотепад и сачувате празну датотеку „перфц.ткт“ у фасцикли Виндовс. Након тога, једноставно избришите екстензију „.ткт“ у имену, прихватите искачуће упозорење прозора и кликните десним тастером миша на датотеку да бисте променили њене дозволе у „Само за читање“.
Стога, када НотПетиа зарази рачунар, скенираће Виндовс фасциклу за ту одређену датотеку, која је заправо једно од његових сопствених имена. Ако је перфц датотека већ присутна, НотПетиа претпоставља да је систем већ заражен и постаје неактиван. Међутим, пошто је ова тајна сада јавна, хакери се могу вратити на таблу за цртање и ревидирати НотПетиа рансомваре тако да зависи од друге датотеке.
Препоруке уредника
- Ова игра омогућава хакерима да нападну ваш рачунар, а ви чак ни не морате да је играте
- Будите најпродуктивнији уз ове Слацк савете и трикове
