Petya ransomware támadás: hogyan és ki fertőzött; hogyan lehet megállítani

Kedden jelent meg egy új ransomware támadás, amely a WannaCry támadások során kiaknázott EternalBlue sebezhetőség módosított változatát használja, és világszerte már több mint 2000 számítógépet sújtott Spanyolországban, Franciaországban, Ukrajnában, Oroszországban és más országokban.

A támadás elsősorban ezen országok vállalkozásait célozta meg, miközben az USA-ban Pittsburgban fekvő kórház is sújtotta. A támadás áldozatai között szerepel többek között a Központi Bank, a Vasút, az Ukrtelecom (Ukrajna), a Rosnett (Oroszország), a WPP (Egyesült Királyság) és a DLA Piper (USA).

Míg a legtöbb fertőzést Ukrajnában találták, a második leggyakrabban Oroszországban, Lengyelország, Olaszország és Németország követi. A kifizetéseket elfogadó bitcoin-számla több mint 24 tranzakciót hajtott végre a leállítás előtt.

Olvassa el még: Petya Ransomware hackerek elveszítik az e-mail fiókokhoz való hozzáférést; Balra sodort áldozatok.

Noha a támadást nem indiai vállalkozásokkal célozták meg, támadása az óriási AP Moller-Maersk hajózási társaságot célozta meg, és a Jawaharlal Nehru kikötő veszélyben van, mivel a vállalat a Gateway Terminálokat üzemelteti a kikötőben.

Hogyan terjed a Petya Ransomware?

A ransomware hasonló kihasználást alkalmaz a hónap elején alkalmazott nagyszabású WannaCry ransomware támadások során, amelyek a Windows elavult verzióin futó gépeket célozták meg, kis módosításokkal.

A sebezhetőség kihasználható egy távoli kódfuttatással a Windows XP és a Windows 2008 rendszert futtató számítógépeken.

A ransomware megfertõzi a számítógépet, és rendszereszközökkel indítja újra. Az újraindítás után az MFT táblát titkosítja az NTFS partíciókban, és felülírja az MBR-t egy testreszabott betöltővel, amely megjeleníti a váltságdíjat.

A Kaspersky Labs szerint: „A hitelesítő adatok elterjesztéséhez a ransomware egyedi eszközöket használ, a la Mimikatz. Ezek a hitelesítő adatok kivonása az lsass.exe folyamatból. A kibontás után a hitelesítő adatokat továbbítják a PsExec eszközökhöz vagy a WMIC-hez a hálózaton belüli terjesztés céljából. ”

Mi történik a számítógép megfertőzése után?

Miután Petya megfertőzte a számítógépet, a felhasználó elveszíti a hozzáférést a számítógéphez, amelyen egy piros képernyővel, piros szöveggel jelenik meg a képernyő, amely a következőképpen szól:

„Ha ezt a szöveget látja, akkor a fájlok már nem érhetők el, mert titkosítva vannak. Lehet, hogy elfoglalta a fájlok helyrehozásának módját, de ne pazarolja idejét. Senki sem tudja visszaállítani az Ön fájljait a dekódolási szolgáltatás nélkül. ”

És vannak utasítások a 300 USD bitcoinban történő befizetéséről, valamint arról, hogy miként lehet beírni a visszafejtési kulcsot és letölteni a fájlokat.

Hogyan lehet biztonságban maradni?

Jelenleg nincs konkrét módszer a Petya ransomware túszként tartott fájljainak visszafejtésére, mivel szilárd titkosítási kulcsot használ.

A Bleeping Computer biztonsági webhely azonban úgy véli, hogy az „perfc” nevű írásvédett fájl létrehozása és a C meghajtó Windows mappájába helyezése segíthet megállítani a támadást.

Fontos az is, hogy azok az emberek, akik még mindig nem töltik le, azonnal telepítsék és telepítsék a régebbi Windows operációs rendszerekhez készült Microsoft javítást, amely megszünteti az EternalBlue által kihasznált biztonsági rést. Ez segít megvédeni őket egy hasonló rosszindulatú program törzs, például a Petya támadása ellen.

Ha a gép újraindul, és ezt az üzenetet látja, azonnal kapcsolja ki! Ez a titkosítási folyamat. Ha nem kapcsolja be, a fájlok rendben vannak. pic.twitter.com/IqwzWdlrX6

- Fantasztikus Hacker (@hackerfantastic), 2017. június 27

Noha a ransomware támadások száma és nagysága napról napra növekszik, feltételezhető, hogy az új fertőzések kockázata jelentősen csökken a támadás első néhány órája után.

Olvassa el még: Ransomware támadások a növekedésen: Itt van, hogyan lehet biztonságban maradni.

És Petya esetében az elemzők azt jósolják, hogy a kód azt mutatja, hogy nem terjed a hálózaton túl. Még senki sem tudja kitalálni, ki felelős a támadásért.

A biztonsági kutatók még mindig nem találtak módot a Petya ransomware által fertőzött rendszerek dekódolására, és mivel még a hackerekkel sem lehet kapcsolatba lépni, az érintett személyek egyelőre így maradnak.