Petya Ransomware Attack: Kako in kdo je okužen; Kako ga ustaviti
Nov napad z ransomware, ki uporablja spremenjeno različico Ranljivost EternalBlue izkoriščen v WannaCry napadi se je pojavila v torek in je v Španiji, Franciji, Ukrajini, Rusiji in drugih državah dosegla že več kot 2000 osebnih računalnikov po vsem svetu.
Napad je bil usmerjen predvsem v podjetja v teh državah, medtem ko je bila prizadeta tudi bolnišnica v Pittsburgu v ZDA. Med žrtvami napada so med drugim centralna banka, železnice, Ukrtelecom (Ukrajina), Rosnett (Rusija), WPP (UK) in DLA Piper (ZDA).
Medtem ko je bilo največ okužb v Ukrajini, na drugem mestu v Rusiji, sledijo Poljska, Italija in Nemčija. Račun za bitcoin, ki sprejema plačila, je opravil več kot 24 transakcij, preden je bil zaustavljen.
Preberite tudi: Hekerji Petya Ransomware izgubili dostop do e-poštnih računov; Žrtve so ostale nasedle.Čeprav napad ni usmerjen na podjetja v Indiji, je bil usmerjen velikanski AP Moller-Maersk in pristanišče Jawaharlal Nehru ogroženo, saj podjetje upravlja pristaniške terminale.
Kako se širi Retsomware Petya?
Ransomware uporablja podoben izkoristek, ki se uporablja v obsežnih napadih izsiljevanja WannaCry v začetku tega meseca, ki so ciljno obdelovali stroje, ki delujejo na zastarelih različicah sistema Windows, z malo spremembami.
Ranljivost je mogoče izkoristiti z oddaljenim izvajanjem kode na osebnih računalnikih z operacijskim sistemom Windows XP za sisteme Windows 2008.
Ransomware okuži računalnik in ga znova zažene s sistemskimi orodji. Po ponovnem zagonu šifrira tabelo MFT v particijah NTFS in MBR prepiše s prilagojenim nakladalnikom, ki prikazuje opombo o odkupnini.
Po navedbah Kaspersky Labs, »Za zajem poverilnic za širjenje ransomware uporablja orodja po meri, la la Mimikatz. Te izvlečejo poverilnice iz postopka lsass.exe. Po ekstrakciji se poverilnice posredujejo orodjem PsExec ali WMIC za distribucijo znotraj omrežja. '
Kaj se zgodi po okužbi računalnika?
Ko Petya okuži računalnik, uporabnik izgubi dostop do naprave, ki prikazuje črni zaslon z rdečim besedilom, ki se glasi:
»Če vidite to besedilo, potem vaše datoteke niso več dostopne, ker so bile šifrirane. Morda ste zaposleni pri iskanju načina za obnovitev datotek, vendar ne zapravljajte časa. Nihče vam ne more obnoviti datotek brez naše storitve dešifriranja. '
Obstajajo navodila v zvezi s plačilom 300 dolarjev v bitcoinih in načinom vnosa ključa za dešifriranje in pridobivanja datotek.
Kako ostati varen?
Trenutno ni nobenega konkretnega načina za dešifriranje datotek, ki so jih talci, z ransomware Petya, saj uporablja trden šifrirni ključ.
Toda varnostno spletno mesto Krvav računalnik verjame, da ustvarjanje datoteke samo za branje z imenom „perfc“ in umestitev v mapo Windows na pogonu C lahko pomaga zaustaviti napad.
Pomembno je tudi, da ljudje, ki še nimajo, nemudoma prenesejo in namestijo Microsoftov popravek za starejše operacijske sisteme Windows, ki ukine ranljivost, ki jo izkorišča EternalBlue. To jim bo pomagalo zaščititi pred napadom podobnega seva zlonamerne programske opreme, kot je Petya.
Če se stroj ponovno zažene in zagledate to sporočilo, izklopite takoj! To je postopek šifriranja. Če ne vklopite, so datoteke v redu. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27. junij 2017
Medtem ko se število in obseg napadov z odvzemom programske opreme povečujeta z vsakim dnem, predlagal da se tveganje za nove okužbe po prvih nekaj urah napada znatno zmanjša.
In v primeru Petye analitiki napovedujejo, da koda kaže, da se ne bo širila po omrežju. Nihče še ni mogel ugotoviti, kdo je odgovoren za ta napad.
Varnostni raziskovalci še vedno niso našli načina, kako bi šifrirali sisteme, okužene z odkupno programsko opremo Petya, in ker zdaj s hekerji ni mogoče vzpostaviti stika, bodo vsi prizadeti zaenkrat ostali.
