Petya ransomware attack: jak i kto jest zainfekowany; jak to zatrzymać

Nowy atak ransomware, który wykorzystuje zmodyfikowaną wersję luki EternalBlue wykorzystanej w atakach WannaCry, pojawił się we wtorek i już uderzył w ponad 2000 komputerów na całym świecie w Hiszpanii, Francji, Ukrainie, Rosji i innych krajach.

Atak dotyczył głównie przedsiębiorstw w tych krajach, a szpital w Pittsburgu w USA również został trafiony. Ofiarami ataku są m.in. bank centralny, koleje, Ukrtelecom (Ukraina), Rosnett (Rosja), WPP (Wielka Brytania) i DLA Piper (USA).

Największą liczbę zakażeń stwierdzono na Ukrainie, drugą najwyższą w Rosji, a następnie w Polsce, Włoszech i Niemczech. Rachunek bitcoin przyjmujący płatności zakończył ponad 24 transakcje, zanim został zamknięty.

Przeczytaj także: Petya Ransomware Hackers Lose Access to Accounts; Ofiary pozostawione bez opieki.

Chociaż atak nie jest skierowany do firm w Indiach, zagrożony był gigant docelowej wysyłki AP Moller-Maersk i port Jawaharlal Nehru, ponieważ firma obsługuje terminale Gateway w porcie.

Jak rozprzestrzenia się Petya Ransomware?

Ransomware używa podobnego exploita wykorzystywanego na dużą skalę w WansCry ataki ransomware na początku tego miesiąca, które atakowały maszyny działające w przestarzałych wersjach Windows, z niewielką modyfikacją.

Luka może zostać wykorzystana poprzez zdalne wykonanie kodu na komputerach z systemem Windows XP do systemów Windows 2008.

Oprogramowanie ransomware infekuje komputer i uruchamia go ponownie za pomocą narzędzi systemowych. Po ponownym uruchomieniu szyfruje tabelę MFT w partycjach NTFS i nadpisuje MBR dostosowanym programem ładującym wyświetlającym notę ​​okupu.

Według Kaspersky Labs „Aby przechwycić dane uwierzytelniające do rozprzestrzeniania, oprogramowanie ransomware używa niestandardowych narzędzi, a la Mimikatz. Wyodrębniają poświadczenia z procesu lsass.exe. Po wyodrębnieniu poświadczenia są przekazywane do narzędzi PsExec lub WMIC w celu dystrybucji wewnątrz sieci. ”

Co się dzieje po zainfekowaniu komputera?

Po tym, jak Petya infekuje komputer, użytkownik traci dostęp do komputera, który wyświetla czarny ekran z czerwonym tekstem, który brzmi następująco:

„Jeśli zobaczysz ten tekst, twoje pliki nie będą już dostępne, ponieważ zostały zaszyfrowane. Być może jesteś zajęty szukaniem sposobu na odzyskanie plików, ale nie marnuj czasu. Nikt nie może odzyskać plików bez naszej usługi deszyfrowania. ”

Są też instrukcje dotyczące wpłaty 300 $ w Bitcoinach oraz sposób na wprowadzenie klucza deszyfrującego i pobranie plików.

Jak zachować bezpieczeństwo?

Obecnie nie istnieje konkretny sposób na odszyfrowanie plików przechowywanych jako zakładnik przez oprogramowanie Petya ransomware, ponieważ używa on stałego klucza szyfrowania.

Ale strona bezpieczeństwa Bleeping Computer uważa, że ​​utworzenie pliku tylko do odczytu o nazwie „perfc” i umieszczenie go w folderze Windows na dysku C może pomóc zatrzymać atak.

Ważne jest również, aby ludzie, którzy jeszcze tego nie zrobili, natychmiast pobrali i zainstalowali poprawkę Microsoft dla starszych systemów operacyjnych Windows, która kończy lukę wykorzystywaną przez EternalBlue. Pomoże to zabezpieczyć je przed atakiem podobnego szczepu szkodliwego oprogramowania, takiego jak Petya.

Jeśli komputer uruchomi się ponownie i zobaczysz ten komunikat, natychmiast wyłącz zasilanie! To jest proces szyfrowania. Jeśli nie włączysz, pliki są w porządku. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 czerwca 2017

Podczas gdy liczba i wielkość ataków ransomware rośnie z każdym dniem, sugeruje się, że ryzyko nowych infekcji znacznie zmniejsza się po pierwszych kilku godzinach ataku.

Przeczytaj także: Ataki Ransomware na wzrost: oto jak zachować bezpieczeństwo.

A w przypadku Petyi analitycy przewidują, że kod pokazuje, że nie rozprzestrzeni się poza sieć. Nikt jeszcze nie był w stanie rozpoznać, kto jest odpowiedzialny za ten atak.

Naukowcy zajmujący się bezpieczeństwem wciąż nie znaleźli sposobu na odszyfrowanie systemów zainfekowanych przez oprogramowanie Petya ransomware, a ponieważ nie można się teraz skontaktować z hakerami, wszyscy, których to dotyczy, pozostaną na razie.