Як захистити свій ПК від програми-вимагача NotPetya

Не програма-вимагач Petya
Trend Micro
26 червня 2017 року новий тип програми-вимагача під назвою NotPetya почали атакувати обчислювальні системи по всьому світу. Спочатку він був націлений на основні системи в Україні, включаючи банки, поштові служби, аеропорти, енергетичні компанії тощо. Але він швидко поширився за межі цільової зони, охопивши 64 країни, включаючи Бразилію, Німеччину, Росію та навіть Сполучені Штати. Ми розглянемо, що це за програма-вимагач NotPetya, які системи вона вражає та як можна захиститися від цієї конкретної атаки.

Зміст

  • Що таке програма-вимагач NotPetya?
  • Від кого ти захищаєшся?

Що таке програма-вимагач NotPetya?

НеПетя (або Petwrap) базується на старішій версії програма-вимагач Petya, який спочатку був розроблений для зберігання файлів і пристроїв у заручниках для оплати біткойнами. Однак, незважаючи на Не спроба Петі зібрати гроші у своїй стрімкій глобальній атаці, здається, це не лише гроші. Натомість NotPetya шифрує файлові системи машин, щоб завдати шкоди компаніям. Аспект програм-вимагачів, очевидно, лише прикриття.

Рекомендовані відео

Що робить NotPetya небезпечним, так це те, що під фронтом програми-вимагача знаходиться експлойт під назвою EternalBlue, нібито розроблене Управлінням національної безпеки США (відоме як NSA). Він націлений на певний уразливий мережевий протокол під назвою Блок повідомлень сервера (версія 1), що використовується для спільного використання принтерів, файлів і послідовних портів між підключеними до мережі ПК під керуванням Windows. Таким чином, уразливість дозволяє віддаленим зловмисникам надсилати та виконувати шкідливий код на цілі комп'ютер. Хакерська група Shadow Brokers витік EternalBlue у квітні 2017 року.

Програма-вимагач NotPetya також містить компонент «хробак». Як правило, жертви стають жертвами програм-вимагачів, завантажуючи та запускаючи зловмисне програмне забезпечення, замасковане під легітимний файл, вкладений в електронний лист. У свою чергу, зловмисне програмне забезпечення шифрує певні файли та розміщує спливаюче вікно на екрані, вимагаючи оплати в біткойнах для розблокування цих файлів.

Однак програмне забезпечення-вимагач Petya, яке з’явилося на початку 2016 року, пішло на крок вперед у цій атаці, зашифрувавши весь жорсткий диск ПК. або твердотільного накопичувача, заражаючи головний завантажувальний запис, таким чином перезаписуючи програму, яка починає завантаження Windows послідовність. Це призвело до шифрування таблиці, яка використовується для відстеження все локальні файли (NTFS), що не дозволяє Windows знаходити будь-що, що зберігається локально.

Незважаючи на здатність шифрувати весь диск, Petya міг заразити лише один цільовий ПК. Однак, як видно з нещодавній спалах WannaCry, програми-вимагачі тепер мають можливість переходити з ПК на ПК у локальній мережі без втручання користувача. Нове програмне забезпечення-вимагач NotPetya здатне до такого ж бокового зараження мережі, на відміну від оригінальної версії Petya.

За словами Microsoft, одним із векторів атаки NotPetya є його здатність викрадати облікові дані або повторно використовувати активний сеанс.

«Оскільки користувачі часто входять, використовуючи облікові записи з правами локального адміністратора, і активні сеанси відкриваються через на кількох машинах, викрадені облікові дані, ймовірно, нададуть той самий рівень доступу, який користувач має на інших машини», повідомляє компанія. «Якщо програма-вимагач отримає дійсні облікові дані, вона сканує локальну мережу, щоб встановити дійсні з’єднання».

Програма-вимагач NotPetya також може використовувати спільні файли, щоб поширюватися в локальній мережі та заражати машини, які не виправлені проти вразливості EternalBlue. Microsoft навіть згадує EternalRomance, ще один експлойт, який використовується проти протоколу Server Message Block, імовірно створеного АНБ.

«Це чудовий приклад того, як два компоненти зловмисного програмного забезпечення об’єднуються для створення більш згубного та стійкого зловмисного програмного забезпечення», — сказав він. Директор з інформаційної безпеки Ivanti Філ Річардс.

Окрім швидкої та широкомасштабної атаки NotPetya, існує ще одна проблема: оплата. Програма-вимагач відкриває спливаюче вікно, у якому жертви вимагають заплатити 300 доларів США в біткойнах, використовуючи певну адресу біткойн, ідентифікатор гаманця біткойн і особистий номер інсталяції. Жертви надсилають цю інформацію на вказану електронну адресу, яка відповідає ключем розблокування. Ця адреса електронної пошти була швидко закрита, коли німецький материнський постачальник послуг електронної пошти Posteo виявив її злий намір.

«Нам стало відомо, що шантажисти програм-вимагачів наразі використовують адресу Posteo як засіб контакту. Наша команда по боротьбі зі зловживаннями негайно перевірила це та одразу ж заблокувала обліковий запис», компанія заявила. «Ми не допускаємо неправильного використання нашої платформи: негайне блокування облікових записів електронної пошти, які використовуються неправильно, є необхідним підходом постачальників у таких випадках».

Це означає, що будь-яка спроба оплати ніколи не пройде, навіть якщо оплата була метою зловмисного програмного забезпечення.

Нарешті, Microsoft вказує, що атаку здійснила українська компанія M.E.Doc, розробник програмного забезпечення для податкового обліку MEDoc. Здається, Microsoft не вказує пальцем, а натомість заявила, що має докази того, що «кілька активних заражень програма-вимагач спочатку запускалася з законного процесу оновлення MEDoc». Цей тип інфекції, зазначає Microsoft, зростає тенденція.

Які системи під загрозою?

На даний момент програма-вимагач NotPetya, здається, зосереджена на атаках на комп’ютери під керуванням Windows в організаціях. Наприклад, була вся система радіаційного контролю, розташована на Чорнобильській АЕС виведено з мережі під час атаки. Тут, у Сполучених Штатах, напад вдарив по всій системі охорони здоров'я Heritage Valley, вплинувши на всі заклади, які покладаються на мережу, включно з лікарнями Бівера та Сьюіклі в Пенсільванії. Київський аеропорт Бориспіль в Україні постраждав графік польотів затримки, а його веб-сайт був вимкнений через атаку.

На жаль, немає інформації про точні версії Windows, на які націлена програма-вимагач NotPetya. Звіт про безпеку Microsoft не містить переліку конкретних випусків Windows, хоча клієнти повинні припустити, щоб бути в безпеці що всі комерційні та масові випуски Windows від Windows XP до Windows 10 підпадають під атаку вікно. Адже навіть WannaCry націлений на машини з інстальованою Windows XP.

Від кого ти захищаєшся?

Корпорація Майкрософт уже випустила оновлення, які блокують експлойти EternalBlue і EternalRomance, які використовуються в цій останній спалаху зловмисного програмного забезпечення. Microsoft звернулася до обох 14 березня 2017 року, випустивши оновлення безпеки MS17-010. Це було більше трьох місяців тому, тобто компанії, які атакували NotPetya через цей експлойт, ще не оновилися своїх ПК. Microsoft пропонує клієнтам негайно встановити оновлення безпеки MS17-010, якщо вони цього не зробили вже.

Інсталяція оновлення безпеки є найефективнішим способом захисту вашого ПК

Для організацій, які поки що не можуть застосувати оновлення безпеки, є два методи, які запобіжать поширенню програми-вимагача NotPetya: повне вимкнення блоку повідомлень сервера версії 1та/або створення правила в маршрутизаторі чи брандмауері, яке блокує вхідний трафік блокування повідомлень сервера на порт 445.

Є ще один простий спосіб запобігання інфекції. Почніть з відкриття Провідника файлів і завантаження папки каталогу Windows, яка зазвичай є «C:\Windows». Там вам потрібно буде створити файл під назвою «perfc» (так, без розширення) і встановіть його дозволи на «Лише читання» (через Загальні/Атрибути).

Звичайно, фактично немає можливості створити новий файл у каталозі Windows, лише опція «Нова папка». Найкращий спосіб створити цей файл — відкрити Блокнот і зберегти порожній файл «perfc.txt» у папці Windows. Після цього просто видаліть розширення «.txt» в назві, прийміть спливаюче попередження Window і клацніть файл правою кнопкою миші, щоб змінити його дозволи на «Лише читання».

Таким чином, коли NotPetya заражає ПК, він сканує папку Windows на наявність цього конкретного файлу, який насправді є одним із його власних імен. Якщо файл perfc уже присутній, NotPetya припускає, що система вже заражена, і переходить у сплячий режим. Однак, оскільки цей секрет став оприлюдненим, хакери можуть повернутися до креслярської дошки та переглянути програму-вимагач NotPetya, щоб вона залежала від іншого файлу.

Рекомендації редакції

  • Ця гра дозволяє хакерам атакувати ваш ПК, і вам навіть не потрібно в неї грати
  • Будьте максимально продуктивними з цими порадами та підказками Slack