Innehåll
- Vad är NotPetya ransomware?
- Vem skyddar du dig mot det?
Vad är NotPetya ransomware?
Inte Petya (eller Petwrap) är baserad på en äldre version av Petya ransomware, som ursprungligen designades för att hålla filer och enheter som gisslan i sin tur för Bitcoin-betalning. Dock trots NotPetyas försök att samla in pengar i sin snabbrörliga globala attack verkar den inte vara ute efter pengar. Istället krypterar NotPetya maskinernas filsystem för att skada företag. Ransomware-aspekten är tydligen bara en täckmantel.
Rekommenderade videor
Det som gör NotPetya farligt är att under den ransomware-baserade fronten finns en exploit som kallas EternalBlue, påstås designad av USA: s nationella säkerhetsadministration (alias NSA). Det riktar sig mot ett specifikt, sårbart nätverksprotokoll som kallas Servermeddelandeblock (version 1) används för att dela skrivare, filer och seriella portar mellan nätverksanslutna Windows-baserade datorer. Således tillåter sårbarheten fjärrangripare att skicka och exekvera skadlig kod på ett mål dator. Hackergruppen Shadow Brokers läckte EternalBlue i april 2017.
NotPetya ransomware innehåller också en "mask"-komponent. Vanligtvis faller offer offer för ransomware genom att ladda ner och köra skadlig programvara förklädd som en legitim fil bifogad i ett e-postmeddelande. I sin tur krypterar skadlig programvara specifika filer och lägger upp ett popup-fönster på skärmen, som kräver betalning i Bitcoins för att låsa upp dessa filer.
Men Petya ransomware som dök upp i början av 2016 tog attacken ett steg längre genom att kryptera hela datorns hårda enhet eller solid state-enhet genom att infektera huvudstartposten, och därmed skriva över programmet som startar Windows-starten sekvens. Detta resulterade i en kryptering av tabellen som används för att hålla reda på Allt lokala filer (NTFS), vilket hindrar Windows från att hitta något som är lagrat lokalt.
Trots sin förmåga att kryptera en hel disk, kunde Petya bara infektera en enda måldator. Men som sett med det senaste WannaCry-utbrottet, ransomware har nu förmågan att flytta från PC till PC på ett lokalt nätverk utan användarinblandning. Den nya NotPetya ransomware är kapabel till samma laterala nätverksangrepp, till skillnad från den ursprungliga Petya-versionen.
Enligt Microsoft är en av NotPetyas attackvektorer dess förmåga att stjäla referenser eller återanvända en aktiv session.
"Eftersom användare ofta loggar in med konton med lokala administratörsbehörigheter och har aktiva sessioner öppna över flera maskiner, kommer stulna autentiseringsuppgifter sannolikt att ge samma åtkomstnivå som användaren har på andra maskiner", bolaget rapporterar. "När ransomwaren har giltiga referenser skannar den av det lokala nätverket för att upprätta giltiga anslutningar."
NotPetya ransomware kan också använda fildelning för att multiplicera sig själv över det lokala nätverket och angripa maskiner som inte är patchade mot EternalBlue-sårbarheten. Microsoft nämner till och med Evig romantik, en annan exploatering som används mot Server Message Block-protokollet som förmodligen framkallats av NSA.
"Detta är ett bra exempel på två malware-komponenter som går samman för att generera mer skadlig och motståndskraftig skadlig programvara," sa Ivanti Chief Information Security Officer Phil Richards.
Utöver NotPetyas snabba, utbredda attack, finns det ett annat problem: betalning. Ransomware tillhandahåller ett popup-fönster som kräver att offren betalar $300 i Bitcoins med en specifik Bitcoin-adress, Bitcoin-plånboks-ID och personligt installationsnummer. Offren skickar denna information till en angiven e-postadress som svarar med en upplåsningsnyckel. Den e-postadressen stängdes snabbt när den tyska e-postleverantören Posteo upptäckte dess onda uppsåt.
"Vi blev medvetna om att utpressare av ransomware för närvarande använder en Posteo-adress som kontaktmedel. Vårt antimissbruksteam kontrollerade detta omedelbart – och blockerade kontot direkt.” sa företaget. "Vi tolererar inte missbruk av vår plattform: Den omedelbara blockeringen av missbrukade e-postkonton är det nödvändiga tillvägagångssättet av leverantörer i sådana fall."
Det betyder att varje försök att betala aldrig skulle gå igenom, även om betalningen var målet för skadlig programvara.
Slutligen indikerar Microsoft att attacken har sitt ursprung hos det ukrainska företaget M.E.Doc, utvecklaren bakom skatteredovisningsprogrammet MEDoc. Microsoft tycks inte peka fingrar, utan uppgav istället att de har bevis på att "några aktiva infektioner av ransomware startade initialt från den legitima MEDoc-uppdateringsprocessen." Denna typ av infektion, konstaterar Microsoft, är en växande trend.
Vilka system är i fara?
För närvarande verkar NotPetya ransomware vara fokuserad på att attackera Windows-baserade datorer i organisationer. Till exempel var hela strålövervakningssystemet som finns i kärnkraftverket i Tjernobyl slogs offline i attacken. Här i USA, attacken drabbade hela Heritage Valley Health System, som påverkar alla faciliteter som är beroende av nätverket, inklusive Beaver- och Sewickley-sjukhusen i Pennsylvania. Kiev Boryspil flygplats i Ukraina drabbats av flygplan förseningar, och dess webbplats slogs offline på grund av attacken.
Tyvärr finns det ingen information som pekar på de exakta versionerna av Windows som NotPetya ransomware riktar sig till. Microsofts säkerhetsrapport listar inte specifika Windows-versioner, även om kunderna för säkerhets skull bör anta att alla kommersiella och vanliga versioner av Windows som spänner över Windows XP till Windows 10 faller inom attacken fönster. Trots allt till och med WannaCry riktade maskiner med Windows XP installerat.
Vem skyddar du dig mot det?
Microsoft har redan utfärdat uppdateringar som blockerar EternalBlue och EternalRomance-utnyttjandet som används av det här senaste skadliga utbrottet. Microsoft tog upp båda den 14 mars 2017, med lanseringen av säkerhetsuppdatering MS17-010. Det var mer än tre månader sedan, vilket innebär att företag som attackerades av NotPetya genom denna exploatering ännu inte har uppdaterats deras datorer. Microsoft föreslår att kunder installerar säkerhetsuppdatering MS17-010 omedelbart, om de inte har gjort det redan.
Att installera säkerhetsuppdateringen är det mest effektiva sättet att skydda din dator
För organisationer som inte kan tillämpa säkerhetsuppdateringen ännu finns det två metoder som förhindrar spridningen av NotPetya ransomware: inaktivera Server Message Block version 1 helt, och/eller skapa en regel i routern eller brandväggen som blockerar inkommande Server Message Block-trafik på port 445.
Det finns en annan enkelt sätt att förhindra infektion. Börja med öppna Filutforskaren och ladda upp Windows-katalogmappen, som vanligtvis är "C:\Windows." Där måste du skapa en fil med namnet "perfc" (ja utan förlängning) och ställ in dess behörigheter till "Read Only" (via Allmänt/Attribut).
Naturligtvis finns det inget faktisk alternativ för att skapa en ny fil i Windows-katalogen, bara alternativet Ny mapp. Det bästa sättet att skapa den här filen är att öppna Anteckningar och spara en tom "perfc.txt"-fil i Windows-mappen. Efter det tar du helt enkelt bort tillägget ".txt" i namnet, accepterar Windows popup-varning och högerklickar på filen för att ändra dess behörigheter till "Read Only".
Således, när NotPetya infekterar en dator, kommer den att skanna Windows-mappen efter den specifika filen, som faktiskt är ett av dess egna filnamn. Om perfc-filen redan finns, antar NotPetya att systemet redan är infekterat och blir vilande. Men med denna hemlighet nu offentlig, kan hackare gå tillbaka till ritbordet och revidera NotPetya ransomware för att vara beroende av en annan fil.
Redaktörens rekommendationer
- Det här spelet låter hackare attackera din dator, och du behöver inte ens spela det
- Var som mest produktiv med dessa Slack-tips och tricks
