Petya Malware otkriva ranjivosti računalnog softvera

Nedavno su nekoliko organizacija u Europi i SAD-u donijeli na koljena zahvaljujući novom napadu otkrića koji se zove "Petya". To je zlonamjerni softver koji je prošao kroz nekoliko velikih tvrtki, uključujući Mondelez, , WPP, oglašavača, Maersk, danska logistička tvrtka, i DLA Piper, pravna tvrtka. Sve ove tvrtke doživjele su zaključavanje računala i podataka i zatražile su da plate otkupninu za pristup.

Ovaj napad je zabrinjavajući jer je drugi veliki napad ransomware u dva mjeseca, što je utjecalo na tvrtke širom svijeta. Možda se sjetite da je u svibnju Nacionalna zdravstvena služba, NHS, u Velikoj Britaniji bila zaražena zlonamjernim softverom zvanim WannaCry. Ovaj je program utjecao na NHS i brojne druge organizacije širom svijeta. WannaCry je prvi put objavljen javnosti kada su otkriveni dokumenti povezani s NHS-om objavljeni od strane hakera poznatih kao Shadow Brokers u travnju.

Softver WannaCry, također nazvan WannaCrypt, utjecao na prekomjerno 230.000 računala, koji su se nalazili u više od 150 zemalja širom svijeta. Osim NHS-a, također su napadnuti Telefonica, španjolska telefonska tvrtka i državne željeznice u Njemačkoj.

Slično kao i WannaCry, "Petya" se brzo širi u mrežama koje koriste Microsoft Windows. Pitanje je, međutim, što je to? Također želimo znati zašto se to događa i kako ga se može zaustaviti.

Što je Ransomware?

Prvo što morate razumjeti je definicija otkupnine. Uglavnom, ransomware je bilo koji tip zlonamjernog softvera koji radi za blokiranje vašeg pristupa računalu ili podacima. Zatim, kada pokušate pristupiti tom računalu ili podatke na njemu, ne možete doći do njega ako ne plaćate otkupninu. Prilično gadno, i stvarno znači!

Kako radi Ransomware?

Također je važno razumjeti kako djeluje ransom. Kada je računalo zaraženo ransom robom, postaje enkriptirano. To znači da su dokumenti na vašem računalu zaključani i ne možete ih otvoriti bez plaćanja otkupnine. Za daljnje kompliciranje stvari, otkupninu se mora platiti u Bitcoinu, a ne gotovini, za digitalni ključ koji možete koristiti za otključavanje datoteka. Ako nemate sigurnosnu kopiju vaših datoteka, imate dva izbora: možete platiti otkupninu, što je obično nekoliko stotina dolara do nekoliko tisuća dolara ili izgubite pristup svim datotekama.

Kako radi "Petya" Ransomware?

"Petya" ransomware djeluje poput većine otkupnine. Potrebno je preko računala, a zatim traži 300 dolara u Bitcoinu. To je zlonamjerni softver koji se brzo širi mrežom ili organizacijom nakon što je zaražena jedno računalo. Ovaj softver koristi EternalBlue ranjivost, koja je dio Microsoft Windows. Iako je Microsoft sada objavio zakrpu za ranjivost, nisu svi instalirali. Ransomware također potencijalno širi putem administrativnih alata za Windows, što je dostupno ako na računalu nema lozinke.

Ako zlonamjerni softver ne može doći na jedan način, on automatski pokušava drugi, pa je tako brzo proširila među tim organizacijama. Dakle, "Petya" se širi mnogo lakše nego WannaCry, prema cyber sigurnosnim stručnjacima.

Postoji li neki način da se zaštitite od "Petya"?

Vjerojatno se pitate u ovom trenutku ako postoji neki način da se zaštitite od "Petya". Većina većih antivirusnih tvrtki tvrde da su ažurirali svoj softver kako bi pomogli ne samo otkrivanju, već i zaštiti od infekcije zlonamjernog softvera "Petya". Na primjer, Symantec softver pruža zaštitu od "Petya" i Kaspersky je ažurirao sve svoje programe kako bi pomogao korisnicima da se zaštite od zlonamjernog softvera. Povrh svega, možete se zaštititi tako što ćete ažurirati Windows. Ako ne radite bilo što drugo, barem instalirajte kritičnu zakrpu koju je Windows objavio u ožujku, što brani od ove ranjivosti EternalBlue.

Time se zaustavlja jedan od glavnih načina zaraživanja, a štiti i od budućih napada.

Dostupna je još jedna linija obrane za pojavu "Petya" zlonamjernog softvera, a nedavno je otkriveno. Zlonamjerni softver provjerava C: pogon za datoteku samo za čitanje pod nazivom perfc.dat. Ako zlonamjerni softver pronađe tu datoteku, ne pokreće šifriranje. Međutim, čak i ako imate tu datoteku, ona zapravo ne sprječava zarazu zlonamjernog softvera. I dalje može širiti zlonamjerni softver na druga računala na mreži čak i ako ga korisnik ne primjećuje na računalu.

Zašto je ovaj zlonamjerni program zvan "Petya?"

Možda se pitate i zašto se zlonamjerni program naziva "Petya". Zapravo, to se tehnički ne naziva "Petya". Umjesto toga, čini se da dijelje puno koda s starim dijelom otkupnine koji se zvao "Petya". Međutim, nakon početnog izbijanja, stručnjaci za sigurnost primijetili su da ta dva otkupnina nisu slična onakvima kakva je bila prva. Znanstvenici iz Kaspersky Laba počeli su se upućivati ​​na zlonamjerni softver kao "NotPetya" (izvorni!) Kao i druga imena, uključujući "Petnu" i "Pneytnu". Osim toga, drugi istraživači nazivali su programom druga imena, uključujući "Goldeneye" Bitdefender, iz Rumunjske, počeo ga je zvati.

Međutim, "Petya" je već zaglavio.

Gdje je "Petya" započela?

Pitate li gdje je počela "Petya"? Izgleda da je počeo putem mehanizma ažuriranja softvera koji je ugrađen u određeni računovodstveni program. Te su tvrtke radile s ukrajinskom vladom i zahtijevale vlada da koristi taj program. To je razlog zbog kojeg su mnoge tvrtke u Ukrajini bile pogođene tom.Organizacije su banke, vlada, metro sustav Kijev, glavna zračna luka Kijeva i državne elektroprivrede.

Sustav koji nadgleda razinu zračenja u Černobilu također je pogođen otkupninom, a na kraju je preuzeo izvan mreže. To je prisililo zaposlenike da koriste ručne ručne uređaje za mjerenje zračenja u zonama isključenja. Povrh toga, došlo je do drugog vala zlonamjernih infekcija koje je izazvalo kampanja koja je sadržavala privitke e-pošte, koja su bila ispunjena zlonamjernim softverom.

Koliko daleko postoji "Petya" infekcija?

"Petya" ransomware se širio daleko i široko, te je poremetio posao tvrtki u SAD-u i Europi. Primjerice, utjecali su WPP, tvrtka za oglašavanje u SAD-u, Saint-Gobain, tvrtka za građevinske materijale u Francuskoj, te tvrtke Rosneft i Evraz, nafta i čelika u Rusiji. Pittsburghova tvrtka, Heritage Valley Health Systems, također je pogođena "Petya" zlonamjernim softverom. Ova tvrtka upravlja bolnicama i ustanovama za njegu na cijelom području Pittsburgha.

Međutim, za razliku od WannaCry, "Petya" zlonamjerni softver pokušava se širiti brzo kroz mreže kojima pristupa, ali se ne pokušava širiti izvan mreže. Ta činjenica sama možda je pomogla potencijalnim žrtvama ovog zlonamjernog softvera, jer je ograničila njegovo širenje. Dakle, čini se da je smanjenje broja novih infekcija.

Koja je motivacija za cyber-kriminalce koji šalju "Petya?"

Kad je "Petya" u početku otkrivena, čini se da je izbijanje zlonamjernog softvera jednostavno pokušaj cyber-kriminala da iskoristi iskorišteni online kibernetički oružje. Međutim, kada su sigurnosni stručnjaci malo više gledali na "Petya" zlonamjerni softver, kažu da su neki mehanizmi, poput načina plaćanja, bili prilično amaterski, pa ne vjeruju da iza nje postoje ozbiljni cyber-kriminalci.

Prvo, otkupninu koja dolazi s "Petya" zlonamjernim softverom uključuje istu adresu za plaćanje za svaku žrtvu zlonamjernog softvera. Ovo je čudno jer stručnjaci stvaraju prilagođenu adresu za svaku od svojih žrtava. Drugo, program traži od svojih žrtava da izravno komuniciraju sa napadačima putem određene adrese e-pošte koja je odmah obustavljena kada je otkriveno da je e-adresa korištena za žrtve "Petya". To znači da čak i ako osoba plaća otkup od 300 dolara, ne može komunicirati s napadačima, a osim toga ne mogu pristupiti ključu za dešifriranje kako bi otključao računalo ili datoteke.

Tko su napadi, onda?

Cyber ​​sigurnosni stručnjaci ne vjeruju da je profesionalni cyber-kriminalac iza "Petya" malwarea, pa tko je? Nitko ne zna u ovom trenutku, ali je vjerojatno da je osoba ili osobe koje su ga izdale htjele zlonamjerni softver izgledati kao jednostavan otkupnine, no umjesto toga, to je mnogo destruktivnije od tipičnog otkupnine. Sigurnosni istraživač, Nicolas Weaver, vjeruje da je "Petya" zloban, destruktivan i namjeran napad. Drugi istraživač, koji odlazi u Grugq, smatra da je izvorna "Petya" bila dio kriminalne organizacije koja je zaradila novac, ali to "Petya" ne radi isto.

Obojica se slažu da je zlonamjerni softver dizajniran da se brzo širi i da uzrokuje veliku štetu.

Kao što smo spomenuli, Ukrajinu je prilično teško pogodio "Petya", a zemlja je pokazala svoje prste u Rusiju. To ne čudi što je Ukrajina okrivila Rusiju za niz prethodnih kibernetičkih napada. Jedan od tih cyberattaka dogodio se u 2015. godini i bio je usmjeren na ukrajinsku mrežu električne energije. Konačno je zavrsilo privremeno napuštanje dijelova zapadne Ukrajine bez ikakve moci. Međutim, Rusija je zanijekao bilo kakvu uključenost u kibernete napade na Ukrajinu.

Što biste trebali učiniti ako vjerujete da ste žrtva Ransomwarea?

Mislite li da ste možda žrtva napada na otkupninu? Taj napad napada računalu i čeka približno sat vremena prije nego što se računalo počne spontano ponovno pokrenuti. Ako se to dogodi, odmah pokušajte isključiti računalo. To bi moglo spriječiti šifriranje datoteka na računalu. U tom trenutku možete pokušati izvaditi datoteke iz stroja.

Ako računalo završi ponovno pokretanje, a otkupnina se ne pojavljuje, nemojte je platiti. Imajte na umu da se e-adresa koristi za prikupljanje podataka od žrtava i slanje ključa je isključena. Umjesto toga, isključite računalo s interneta i mreže, preformatirajte tvrdi disk, a zatim upotrijebite sigurnosnu kopiju da biste ponovno instalirali datoteke. Svakako redovito pohranite datoteke i uvijek ažurirajte antivirusni softver.