Dzień dobry, przyjaciele. Całkiem niedawno analizowaliśmy wirusa Oprogramowanie ransomware WannaCry, który w ciągu kilku godzin rozprzestrzenił się po wielu krajach na całym świecie i zainfekował wiele komputerów. A potem pod koniec czerwca pojawił się nowy podobny wirus „Petya”. Lub, jak to się najczęściej nazywa „Petya”.
Wirusy te są klasyfikowane jako trojany ransomware i są dość podobne, chociaż mają też swoje własne różnice, w tym znaczące. Według oficjalnych danych „Petya” najpierw zainfekował przyzwoitą liczbę komputerów na Ukrainie, a następnie rozpoczął podróż dookoła świata.
Dotknięte zostały komputery w Izraelu, Serbii, Rumunii, Włoszech, na Węgrzech, w Polsce i innych krajach. Rosja znajduje się na 14. miejscu na tej liście. Następnie wirus rozprzestrzenił się na inne kontynenty.
Głównymi ofiarami wirusa byli duże firmy(dość często ropa naftowa), lotniska, firmy komunikacja komórkowa itp., na przykład ucierpiały firmy Bashnieft, Rosnieft, Mars, Nestlé i inne. Innymi słowy, napastnicy biorą za cel duże firmy, od których mogą wyłudzić pieniądze.
Petya to złośliwe oprogramowanie będące trojanem ransomware. Szkodniki takie tworzone są w celu szantażowania właścicieli zainfekowanych komputerów poprzez szyfrowanie informacji znajdujących się na komputerze. Wirus Petya, w przeciwieństwie do WannaCry, nie szyfruje osobne pliki. Trojan ten szyfruje cały dysk. Dlatego jest bardziej niebezpieczny niż wirus WannaCry.
Kiedy Petya uderza w komputer, bardzo szybko szyfruje tabelę MFT. Aby było jaśniejsze, podamy analogię. Jeśli porównać akta z dużą biblioteką miejską, usuwa jej katalog i w tym przypadku bardzo trudno jest znaleźć odpowiednią książkę.
Nawet nie tylko katalog, ale rodzaj mieszanki stron (plików) z różnych książek. Oczywiście system w tym przypadku zawodzi. Systemowi bardzo trudno jest sortować takie śmieci. Gdy szkodnik dostanie się do komputera, uruchamia go ponownie, a po uruchomieniu pojawia się czerwona czaszka. Następnie, po kliknięciu dowolnego przycisku, pojawi się baner z prośbą o wpłatę 300 USD na Twoje konto Bitcoin.
Kto mógłby stworzyć Petyę? Na to pytanie nie ma jeszcze odpowiedzi. I w ogóle nie jest jasne, czy autor zostanie zidentyfikowany (najprawdopodobniej nie)? Wiadomo jednak, że wyciek pochodził z USA. Wirus, podobnie jak WannaCry, szuka dziury w systemie operacyjnym. Aby załatać tę dziurę, wystarczy zainstalować aktualizację MS17-010 (wydaną kilka miesięcy temu podczas ataku WannaCry). Można go pobrać z linku. Lub z oficjalnej strony Microsoftu.
NA w tej chwili, ta aktualizacja jest najbardziej w najlepszy możliwy sposób ochrona komputera. Nie zapomnij także o dobry antywirus. Ponadto Kaspersky Lab oświadczył, że posiada aktualizację bazy danych, która blokuje tego wirusa.
Ale to nie znaczy, że musisz zainstalować Kaspersky. Użyj swojego programu antywirusowego, tylko nie zapomnij zaktualizować jego bazy danych. Nie zapomnij także o dobrym firewallu.
Najczęściej Petya przedostaje się na Twój komputer za pośrednictwem poczty elektronicznej. Dlatego nie powinieneś otwierać różnych linków w listach, zwłaszcza tych nieznanych, podczas inkubacji wirusa Petya. Ogólnie rzecz biorąc, należy przyjąć zasadę, aby nie otwierać linków od nieznajomych. W ten sposób uchronisz się nie tylko przed tym wirusem, ale także przed wieloma innymi.
Następnie, gdy trojan znajdzie się na komputerze, uruchamia się ponownie i symuluje sprawdzanie plików . Następnie, jak już wspomniałem, na ekranie pojawia się czerwona czaszka, po czym baner oferujący zapłatę za odszyfrowanie pliku poprzez przelew trzystu dolarów do portfela Bitcoin.
Od razu powiem, że nie trzeba płacić pod żadnym pozorem! I tak nie odszyfrują go za Ciebie, po prostu wydaj swoje pieniądze i wpłać darowiznę na rzecz twórców trojana. Wirus ten nie jest przeznaczony do odszyfrowywania.
Przyjrzyjmy się bliżej ochronie przed Wirus Petya:
To trudne pytanie. Jeśli Petya wykonał pracę na twoim komputerze, w zasadzie nie będzie już nic do usunięcia. Wszystkie pliki zostaną rozproszone po całym systemie. Najprawdopodobniej nie będziesz już mógł ich organizować. Nie ma sensu płacić atakującym. Pozostaje tylko sformatować dysk i ponownie zainstalować system. Po sformatowaniu i ponownej instalacji systemu wirus zniknie.
Dodam również, że szkodnik ten stanowi zagrożenie szczególnie dla systemu Windows. Jeśli posiadasz inny system, na przykład rosyjski system Rosa, nie powinieneś bać się tego wirusa ransomware. To samo dotyczy właścicieli telefonów. Większość z nich ma System Android, iOS itp. Dlatego posiadacze telefonów komórkowych nie mają się o co martwić.
Ponadto, jeśli jesteś prostą osobą, a nie właścicielem dużej firmy, najprawdopodobniej napastnicy nie są Tobą zainteresowani. Potrzebują dużych firm, dla których 300 dolarów nic nie znaczy i które faktycznie są w stanie im te pieniądze zapłacić. Nie oznacza to jednak, że wirus nie może przedostać się na Twój komputer. Lepiej być bezpiecznym!
Miejmy jednak nadzieję, że wirus Petya Cię ominie! Zadbaj o swoje dane zapisane na komputerze. Powodzenia!
Dzisiaj wirus ransomware zaatakował wiele komputerów w sektorze publicznym, komercyjnym i prywatnym Ukrainy
Bezprecedensowy atak hakerski zniszczył wiele komputerów i serwerów w agencjach rządowych i organizacjach komercyjnych w całym kraju
Zakrojony na szeroką skalę i starannie zaplanowany cyberatak spowodował wyłączenie infrastruktury krytycznej wielu przedsiębiorstw i firm państwowych. Poinformowała o tym Służba Bezpieczeństwa (SBU).
Począwszy od lunchu, w Internecie niczym kula śnieżna zaczęły pojawiać się wiadomości o infekcji komputerów w sektorze publicznym i prywatnym. Przedstawiciele agencji rządowych ogłosili ataki hakerskie na ich infrastrukturę informatyczną.
Według SBU do infekcji doszło głównie w wyniku otwarcia plików Word i PDF, które napastnicy przesłali pocztą elektroniczną. Wykorzystano wirusa ransomware Petya.A podatność sieci w systemie operacyjnym Windows. Aby odblokować zaszyfrowane dane, cyberprzestępcy zażądali zapłaty w bitcoinach o wartości 300 dolarów.
Sekretarz Rady Bezpieczeństwa Narodowego i Obrony Aleksander Turczynow powiedział, że agencje rządowe włączone do chronionego obwodu – specjalnego węzła internetowego – nie poniosły żadnych szkód. Najwyraźniej Gabinet Ministrów nie wdrożył prawidłowo zaleceń Krajowego Centrum Koordynacji Cyberbezpieczeństwa, ponieważ komputery rządowe zostały zainfekowane przez Petya.A. Ministerstwo Finansów, Elektrownia Jądrowa w Czarnobylu, Ukrenergo, Ukrposhta nie mogły oprzeć się dzisiejszemu atakowi, Nowa poczta i kilka banków.
Przez pewien czas strony internetowe SBU, cyberpolicji i Państwowej Służby Specjalnej Łączności i Ochrony Informacji (SSSSZI) w ogóle się nie otwierały.
Do wtorkowego wieczoru 27 czerwca żaden z organów ścigania, do których obowiązków należy zwalczanie cyberataków, nie powiedział, skąd pochodzi Petya.A i kto za nim stoi. SBU, Cyber Police (której strona internetowa była niedostępna przez cały dzień) i SSSSZI zachowały olimpijskie milczenie w sprawie rozmiarów szkód wyrządzonych przez wirusa ransomware.
Wirus ransomware Petya zaatakował wiele rosyjskich i ukraińskich firm. Serwis publikacji online rozmawiał z ekspertami z Kaspersky Lab i agencji interaktywnej AGIMA i dowiedział się, jak chronić komputery korporacyjne przed wirusami oraz w jaki sposób Petya jest podobna do równie dobrze znanej Wirus ransomware WannaCry.
Wirus „Petya”
W Rosji działają producenci czekolady Rosnieft, Basznieft, Mars, Nivea i Alpen Gold Mondelez International. Wirus ransomware systemu monitorowania promieniowania elektrowni jądrowej w Czarnobylu. Ponadto atak dotknął komputery ukraińskiego rządu, Privatbanku i operatorów telekomunikacyjnych. Wirus blokuje komputery i żąda okupu w wysokości 300 dolarów w bitcoinach.
W mikroblogu na Twitterze służba prasowa Rosniefti informowała o ataku hakerskim na serwery firmy. „Na serwery firmy przeprowadzono potężny atak hakerski. Mamy nadzieję, że nie ma to nic wspólnego z toczącym się postępowaniem prawnym. Firma skontaktowała się z organami ścigania w sprawie cyberataku” – czytamy w komunikacie.
Według sekretarza prasowego spółki Michaiła Leontijewa Rosnieft’ i jej spółki zależne działają normalnie. Po ataku firma przeszła na systemu kopii zapasowych kontrola procesów produkcyjnych, tak aby produkcja i obróbka oleju nie zostały wstrzymane. Zaatakowany został także system bankowy Home Credit.
„Petya” nie infekuje bez „Miszy”
Według Dyrektor wykonawczy AGIMA Jewgienij Łobanow w rzeczywistości atak przeprowadziły dwa wirusy szyfrujące: Petya i Misha.
„Współpracują razem. „Petya” nie infekuje bez „Miszy”. Może infekować, ale wczorajszym atakiem były dwa wirusy: najpierw Petya, potem „Petya” przepisuje urządzenie startowe (skąd załadunek komputer), a Misza szyfruje pliki przy użyciu określonego algorytmu” – wyjaśnił specjalista. – Petya szyfruje sektor rozruchowy dysku (MBR) i zastępuje go własnym, Misha już szyfruje wszystkie pliki na dysku (nie zawsze).”
Zauważył, że wirus szyfrujący WannaCry, który w maju tego roku zaatakował duże światowe firmy, nie jest podobny do Petyi, jest to nowa wersja.
„Petya.A pochodzi z rodziny WannaCry (a raczej WannaCrypt), ale główna różnica, dlaczego nie jest to ten sam wirus, polega na tym, że zastępuje go MBR z własnym sektorem startowym - jest to nowy produkt dla Ransomware. Wirus Petya pojawił się dawno temu, na GitHabie (serwisie internetowym dotyczącym projektów informatycznych i wspólnego programowania - strona internetowa) https://github.com/leo-stone/hack-petya" target="_blank">był deszyfrator jednak dla tego oprogramowania ransomware nowa modyfikacjażaden deszyfrator nie jest odpowiedni.
Jewgienij Łobanow podkreślił, że atak uderzył w Ukrainę mocniej niż w Rosję.
„Jesteśmy bardziej podatni na ataki niż inne kraje Zachodu. Będziemy chronieni przed tą wersją wirusa, ale nie przed jego modyfikacjami. Nasz Internet jest niebezpieczny, na Ukrainie jeszcze mniej. W większości byliśmy celem ataku firmy transportowe, banki, operatorzy komórkowi(Vodafone, Kyivstar) i firmy medyczne, te same stacje benzynowe Pharmamag, Shell – wszystkie bardzo duże firmy transkontynentalne” – powiedział w wywiadzie dla serwisu.
Dyrektor wykonawczy AGIMA zauważył, że nie ma jeszcze faktów, które wskazywałyby na położenie geograficzne rozprzestrzeniającego wirusa. Jego zdaniem wirus rzekomo pojawił się w Rosji. Niestety nie ma na to bezpośrednich dowodów.
„Zakłada się, że są to nasi hakerzy, gdyż pierwsza modyfikacja pojawiła się w Rosji, a sam wirus, co dla nikogo nie jest tajemnicą, otrzymał nazwę na cześć Petra Poroszenki. Był to rozwój rosyjskich hakerów, ale trudno powiedzieć kto to jeszcze zmienił. Jasne jest, że nawet będąc w Rosji, łatwo jest mieć komputer z geolokalizacją np. w USA” – wyjaśnił ekspert.
„Jeśli Twój komputer zostanie nagle „zainfekowany”, nie możesz go wyłączać. Jeśli uruchomisz ponownie, nigdy więcej się nie zalogujesz.
„Jeśli Twój komputer zostanie nagle „zainfekowany”, nie możesz go wyłączyć, ponieważ wirus Petya zastępuje MBR - pierwszy sektor rozruchowy, z którego ładowany jest system operacyjny. Jeśli uruchomisz ponownie, nigdy więcej nie zalogujesz się do systemu. Spowoduje to odcięcie dróg ucieczki, nawet jeśli pojawi się „tablet”, zwrot danych nie będzie już możliwy. Następnie należy natychmiast odłączyć się od Internetu, aby komputer nie przeszedł do trybu online. Oficjalna łatka firmy Microsoft został już wydany, zapewnia 98-procentową gwarancję bezpieczeństwa, niestety, na razie nie w 100 procentach. Pewną modyfikację wirusa (ich trzy części) na razie omija” – zalecił Łobanow. – Jeśli jednak uruchomisz ponownie komputer i zobaczysz początek procesu „sprawdzenia dysku”, w tym momencie musisz natychmiast wyłączyć komputer, a pliki pozostaną niezaszyfrowane.
Ekspert wyjaśnił także, dlaczego najczęściej atakuje się ludzi Użytkownicy Microsoftu, a nie systemy MacOSX (system operacyjny Apple – strona internetowa) i systemy Unix.
„Właściwiej tutaj mówić nie tylko o MacOSX, ale także o wszystkich systemach uniksowych (zasada jest ta sama). Wirus rozprzestrzenia się tylko na komputery, bez urządzenia mobilne. Sala operacyjna jest atakowana System Windows i zagraża tylko tym użytkownikom, którzy wyłączyli funkcję automatycznej aktualizacji systemu. Aktualizacje są dostępne w drodze wyjątku nawet dla właścicieli starszych wersji Wersje Windowsa, które nie są już aktualizowane: XP, Windows 8 i Serwer Windows 2003 r.” – stwierdził ekspert.
„MacOSX i Unix nie są globalnie podatne na takie wirusy, ponieważ jest ich wiele duże korporacje korzystać z infrastruktury Microsoft. Nie ma to wpływu na system MacOSX, ponieważ nie jest on tak powszechny w agencjach rządowych. Wirusów na to jest mniej, nie opłaca się ich robić, bo segment ataku będzie mniejszy, niż w przypadku ataku na Microsoft” – podsumował specjalista.
„Liczba zaatakowanych użytkowników osiągnęła dwa tysiące”
W serwisie prasowym Kaspersky Lab, którego eksperci w dalszym ciągu badają najnowszą falę infekcji, stwierdzili, że „to oprogramowanie ransomware nie należy do znanej już rodziny ransomware Petya, chociaż ma z nim kilka wspólnych linii kodu”.
Laboratorium jest o tym przekonane w tym przypadku o czym mówimy o nowej rodzinie złośliwego oprogramowania o znacząco różniącej się funkcjonalnością od Petyi. Nazwa Kaspersky Lab nowe oprogramowanie ransomware ExPetr.
„Według Kaspersky Lab liczba zaatakowanych użytkowników sięgnęła dwóch tysięcy. Najwięcej incydentów odnotowano w Rosji i na Ukrainie, a przypadki infekcji zaobserwowano także w Polsce, Włoszech, Wielkiej Brytanii, Niemczech, Francji, USA i szeregu innych W tej chwili nasi eksperci zakładają, że „to szkodliwe oprogramowanie wykorzystywało kilka wektorów ataku. Ustalono, że do dystrybucji w sieciach korporacyjnych wykorzystano zmodyfikowany exploit EternalBlue i EternalRomance” – podało biuro prasowe.
Eksperci badają również możliwość stworzenia narzędzia deszyfrującego, które można by wykorzystać do odszyfrowania danych. Laboratorium wydało także zalecenia dla wszystkich organizacji, aby uniknąć ataku wirusa w przyszłości.
„Zalecamy organizacjom zainstalowanie aktualizacji systemu Windows. Windows XP i Windows 7 powinny zainstalować aktualizację zabezpieczeń MS17-010 i upewnić się, że mają skuteczny system kopia zapasowa dane. Terminowe i bezpieczne tworzenie kopii zapasowych danych umożliwia przywrócenie oryginalnych plików, nawet jeśli zostały zaszyfrowane przez złośliwe oprogramowanie” – radzą eksperci z Kaspersky Lab.
do jego klienci korporacyjni Laboratorium zaleca także upewnienie się, że wszystkie mechanizmy zabezpieczające są włączone, w szczególności zapewnienie połączenia z infrastrukturą chmurową Kaspersky Security Sieć, jako dodatkowy środek, zaleca się użycie komponentu Kontrola uprawnień aplikacji, aby odmówić wszystkim grupom aplikacji dostępu (i odpowiednio wykonania) pliku o nazwie „perfc.dat” itp.
„Jeśli nie korzystasz z produktów firmy Kaspersky Lab, zalecamy wyłączenie wykonywania pliku o nazwie perfc.dat, a także zablokowanie uruchomienia narzędzia PSExec z pakietu Sysinternals za pomocą funkcji AppLocker zawartej w systemie operacyjnym Windows (system operacyjny – strona internetowa)” rekomendowany w Laboratorium.
12 maja 2017 wiele – włączono szyfrowanie danych dyski twarde komputery. Blokuje urządzenie i żąda zapłaty okupu.
Wirus dotknął organizacje i departamenty w kilkudziesięciu krajach na całym świecie, w tym w Rosji, gdzie zaatakowano Ministerstwo Zdrowia, Ministerstwo Sytuacji Nadzwyczajnych, Ministerstwo Spraw Wewnętrznych i serwery operatorzy komórkowi i kilka dużych banków.
Rozprzestrzenianie się wirusa zostało zatrzymane przypadkowo i tymczasowo: jeśli hakerzy zmienią zaledwie kilka linijek kodu, szkodliwe oprogramowanie zacznie ponownie działać. Szkody spowodowane programem szacuje się na miliard dolarów. Po kryminalistycznej analizie lingwistycznej eksperci ustalili, że WannaCry został stworzony przez ludzi z Chin lub Singapuru.
Według Positive Technologies działania Petyi dotknęły ponad 80 organizacji w Rosji i na Ukrainie. W porównaniu do WannaCry, wirus ten jest uważany za bardziej destrukcyjny, ponieważ rozprzestrzenia się kilkoma metodami: używając Windowsa Instrumentacja zarządzania, exploit PsExec i EternalBlue. Ponadto oprogramowanie ransomware jest wbudowane darmowe narzędzie Mimikatz.
„Ten zestaw narzędzi pozwala Petyi działać nawet w tych infrastrukturach, w których wzięto pod uwagę wnioski płynące z WannaCry i zainstalowano odpowiednie aktualizacje zabezpieczeń, dlatego program szyfrujący jest tak skuteczny” – stwierdziło Positive Technologies.
Jak powiedział Gazeta.Ru szef wydziału reagowania na zagrożenia bezpieczeństwo informacji Firma Elmar Nabigaev,
Jeśli mówimy o przyczynach obecnej sytuacji, problemem jest ponownie nieostrożne podejście do problemów związanych z bezpieczeństwem informacji.
Szef laboratorium wirusów Avast Jakub Kroustek w rozmowie z Gazeta.Ru powiedział, że nie da się z całą pewnością ustalić, kto dokładnie stoi za tym cyberatakiem, ale już wiadomo, że wirus Petya rozprzestrzenia się na darknet korzystający z modelu biznesowego RaaS (malware as a service).
„Tak więc udział dystrybutorów programów sięga 85% okupu, 15% trafia do autorów wirusa ransomware” – powiedział Kroustek. Zauważył, że autorzy Petyi zapewniają całą infrastrukturę, serwery C&C i systemy przelewy pieniężne, co pomaga przyciągnąć ludzi do rozprzestrzeniania wirusa, nawet jeśli nie mają oni doświadczenia w programowaniu.
Ponadto Avast powiedział co dokładnie systemy operacyjne najbardziej ucierpiała z powodu wirusa.
Na pierwszym miejscu znalazł się Windows 7 – 78% wszystkich zainfekowanych komputerów. Następne są Windows XP (18%), Windows 10 (6%) i Windows 8.1 (2%).
Kaspersky Lab uznał, że chociaż wirus był podobny do rodziny Petya, nadal należał do innej kategorii i nadał mu inną nazwę – ExPetr, czyli „były Peter”.
Zastępca dyrektora ds. rozwoju firmy Aydeko Dmitrij Chomutow wyjaśnił korespondentowi Gazeta.Ru, że cyberataki wirusami WannaCry i Petya doprowadziły do „tego, przed czym ostrzegałem od dawna”, czyli globalnej podatności na zagrożenia informacji systemy stosowane wszędzie.
„Luki pozostawione przez amerykańskie korporacje dla agencji wywiadowczych stały się dostępne dla hakerów i szybko zostały połączone z tradycyjnym arsenałem cyberprzestępców – oprogramowaniem ransomware, klientami botnetów i robakami sieciowymi” – powiedział Chomutow.
W ten sposób WannaCry praktycznie niczego nie nauczył społeczności globalnej - komputery pozostały bez ochrony, systemy nie były aktualizowane, a wysiłki mające na celu wypuszczenie poprawek nawet dla przestarzałych systemów po prostu poszły na marne.
Eksperci nalegają, aby nie płacić wymaganego okupu w bitcoinach, ponieważ adres pocztowy, który hakerzy pozostawili do komunikacji, został zablokowany przez lokalnego dostawcę. Tym samym nawet w przypadku „uczciwych i dobrych intencji” cyberprzestępców użytkownik nie tylko straci pieniądze, ale także nie otrzyma instrukcji odblokowania swoich danych.
Petya najbardziej skrzywdził Ukrainę. Wśród ofiar byli Zaporożeoblenergo, Dneproenergo, metro w Kijowie, ukraińscy operatorzy komórkowi Kyivstar, LifeCell i Ukrtelecom, sklep Auchan, Privatbank, lotnisko Boryspol i inni.
Władze ukraińskie natychmiast oskarżyły Rosję o cyberatak.
„Wojna w cyberprzestrzeni, szerząca strach i terror wśród milionów użytkowników komputery osobiste i spowodowanie bezpośrednich szkód materialnych w wyniku destabilizacji biznesu i agencji rządowych, wpisuje się w ogólną strategię wojny hybrydowej imperium rosyjskiego z Ukrainą” – powiedział deputowany Rady z Frontu Ludowego.
Ukraina mogła zostać uderzona mocniej niż inne w związku z początkowym rozprzestrzenianiem się Petyi automatyczna aktualizacja M.E.doc - programy do raportowania finansowego. W ten sposób zainfekowane zostały ukraińskie departamenty, obiekty infrastruktury i firmy handlowe – wszystkie korzystają z tej usługi.
Służba prasowa ESET Rosja wyjaśniła Gazeta.Ru, że z powodu infekcji wirusem Petya sieć korporacyjna Wystarczy jeden podatny na ataki komputer, na którym nie są zainstalowane aktualizacje zabezpieczeń. Z jego pomocą szkodliwy program przedostanie się do sieci, uzyska uprawnienia administratora i rozprzestrzeni się na inne urządzenia.
Jednak MEdoc wydał oficjalne obalenie tej wersji.
„Dyskusja na temat źródeł występowania i rozprzestrzeniania się cyberataków jest aktywnie prowadzona przez użytkowników na portalach społecznościowych, forach i innych zasoby informacyjne, w brzmieniu którego jednym z powodów jest instalacja aktualizacji programu M.E.Doc. Zespół programistów M.E.Doc zaprzecza tę informację i stwierdza, że takie wnioski są oczywiście błędne, ponieważ deweloper M.E.Doc, jako odpowiedzialny dostawca oprogramowanie, monitoruje bezpieczeństwo i czystość własnego kodu” – mówi
, 18 lipca 2017 rOdpowiedzi na najważniejsze pytania dotyczące wirusa ransomware Petna (NotPetya, ExPetr), oprogramowania ransomware opartego na Petya, które zainfekowało wiele komputerów na całym świecie.
W tym miesiącu byliśmy świadkami kolejnego masowego ataku oprogramowania ransomware, zaledwie kilka tygodni po . W ciągu kilku dni ta modyfikacja oprogramowania ransomware otrzymała wiele różnych nazw, w tym Petya (nazwa oryginalnego wirusa), NotPetya, EternalPetya, Nyetya i inne. Początkowo nazywaliśmy go „wirusem rodziny Petya”, ale dla wygody nazwiemy go po prostu Petna.
Wokół Petny jest wiele niejasności, nawet poza jej nazwą. Czy jest to to samo oprogramowanie ransomware co Petya, czy inna wersja? Czy Petnę należy uznać za oprogramowanie ransomware żądające okupu czy wirusa, który po prostu niszczy dane? Wyjaśnijmy niektóre aspekty przeszłego ataku.
Szczyt aktywności kilka dni temu. Rozprzestrzenianie się wirusa rozpoczęło się rankiem 27 czerwca. Tego samego dnia osiągnęła swoją aktywność najwyższy poziom co godzinę miały miejsce tysiące prób ataków. Następnie ich intensywność w ciągu tego samego dnia znacznie spadła, a później zaobserwowano jedynie niewielką liczbę infekcji.
Nie, w oparciu o zasięg naszej bazy użytkowników. Zaobserwowaliśmy około 20 000 prób ataków na całym świecie, co jest niczym w porównaniu z 1,5 milionami ataków WannaCry, które udaremniliśmy.
Z naszych danych telemetrycznych wynika, że główny wpływ wirusa miał miejsce na Ukrainie, gdzie wykryto ponad 90% prób ataków. Dotknięte zostały także Rosja, USA, Litwa, Białoruś, Belgia i Brazylia. W każdym z tych krajów odnotowano od kilkudziesięciu do kilkuset prób infekcji.
Najwięcej ataków zarejestrowano na działające urządzenia Sterowanie Windowsem 7 (78%) i Windows XP (14%). Liczba ataków minęła nowoczesne systemy okazało się znacznie mniejsze.
Po przeanalizowaniu ścieżek rozwoju cyberepidemii odkryliśmy pierwotny wektor infekcji, który jest związany z aktualizacją ukraińskiego oprogramowania księgowego M.E.Doc. Dlatego Ukraina tak poważnie ucierpiała.
Gorzki paradoks: ze względów bezpieczeństwa użytkownikom zawsze zaleca się aktualizację oprogramowanie jednak w tym przypadku wirus zaczął rozprzestrzeniać się na dużą skalę właśnie wraz z aktualizacją oprogramowania wydaną przez M.E.Doc.
Jednym z powodów jest to, że niektóre z dotkniętych firm mają ukraińskie spółki zależne. Gdy wirus zainfekuje komputer, rozprzestrzenia się po całej sieci. W ten sposób udało mu się dotrzeć do komputerów w innych krajach. Kontynuujemy badanie innych możliwych wektorów infekcji.
Po zainfekowaniu urządzenia Petna próbuje zaszyfrować pliki z określonymi rozszerzeniami. Lista plików docelowych nie jest tak duża w porównaniu z listami oryginalnego wirusa Petya i innego oprogramowania ransomware, ale zawiera rozszerzenia zdjęć, dokumentów, kodów źródłowych, baz danych, obrazów dysków i innych. Ponadto oprogramowanie to nie tylko szyfruje pliki, ale także rozprzestrzenia się niczym robak na inne urządzenia podłączone do sieci lokalnej.
Jak wirus używa trzech różne sposoby dystrybucja: ogólnie wykorzystując exploity EternalBlue (znane z WannaCry) lub EternalRomance zasoby sieciowe Windows wykorzystuje skradzione dane uwierzytelniające ofiary (używając narzędzi takich jak Mimikatz, które mogą wyodrębniać hasła), a także godnych zaufania narzędzi, takich jak PsExec i WMIC.
Po zaszyfrowaniu plików i rozprzestrzenieniu się w sieci wirus próbuje się włamać ładowanie systemu Windows(poprzez zmianę głównego rekordu rozruchowego, MBR), a następnie wymuszony restart szyfruje główną tabelę plików (MFT) dysk systemowy. Uniemożliwia to komputerowi załadowanie systemu Windows i uniemożliwia korzystanie z komputera.
Tak, jest to możliwe dzięki rozkładowi poziomemu złośliwe oprogramowanie opisane powyżej. Choćby konkretne urządzenie chroniony zarówno przed EternalBlue, jak i EternalRomance, nadal może zostać zainfekowany w trzeci sposób.
Wirus Petna jest zdecydowanie oparty na oryginalnym oprogramowaniu ransomware Petna. Przykładowo w części odpowiedzialnej za szyfrowanie głównej tabeli plików jest ono niemal identyczne z wcześniej napotkanym zagrożeniem. Jednak nie jest on całkowicie identyczny ze starszymi wersjami ransomware. Uważa się, że wirus został zmodyfikowany przez osobę trzecią, a nie przez pierwotnego autora, znanego jako Janus, który również skomentował tę sprawę w Świergot, a później opublikował główny klucz deszyfrujący dla wszystkich poprzednich wersji programu.
Główne podobieństwo między Petną i WannaCry polega na tym, że do rozprzestrzeniania się wykorzystywały one exploit EternalBlue.
To nie jest prawda. To złośliwe oprogramowanie szyfruje tylko pliki i główną tabelę plików (MFT). Innym pytaniem jest, czy te pliki można odszyfrować.
Niestety nie. Wirus wykorzystuje dość potężny algorytm szyfrowania, którego nie można obejść. Szyfruje nie tylko pliki, ale także główną tabelę plików (MFT), co bardzo utrudnia proces deszyfrowania.
NIE! Nigdy nie zalecamy płacenia okupu, ponieważ wspiera to jedynie przestępców i zachęca ich do kontynuowania takich działań. Co więcej, jest prawdopodobne, że nie odzyskasz swoich danych, nawet jeśli zapłacisz. W tym przypadku jest to bardziej oczywiste niż kiedykolwiek wcześniej. I oto dlaczego.
Oficjalny adres wskazany w oknie z żądaniem okupu e-mail [e-mail chroniony], na który ofiary proszono o przesłanie okupu, został zamknięty przez dostawcę usług e-mail wkrótce po ataku wirusa. Dlatego twórcy ransomware nie mogą dowiedzieć się, kto zapłacił, a kto nie.
Odszyfrowanie partycji MFT jest w zasadzie niemożliwe, ponieważ klucz zostaje utracony po zaszyfrowaniu go przez oprogramowanie ransomware. W poprzednie wersje wirusa, klucz ten został zapisany w identyfikatorze ofiary, jednak w przypadku ostatniej modyfikacji jest to po prostu losowy ciąg znaków.
Ponadto szyfrowanie plików jest bardzo chaotyczne. Jak
