„Petya Ransomware“ ataka: kaip ir kas užkrėstas; Kaip tai sustabdyti

Nauja išpirkos programinės įrangos ataka, kurioje naudojama modifikuota „EternalBlue“ pažeidžiamumas išnaudotas „WannaCry“ išpuoliai pasirodė antradienį ir jau pasiekė daugiau nei 2000 kompiuterių visame pasaulyje Ispanijoje, Prancūzijoje, Ukrainoje, Rusijoje ir kitose šalyse.




Išpuolis pirmiausia buvo nukreiptas į šių šalių verslą, o nukentėjo ir ligoninė Pitsburge, JAV. Išpuolio aukos, be kita ko, yra Centrinis bankas, „Railways“, „Ukrtelecom“ (Ukraina), „Rosnett“ (Rusija), WPP (JK) ir DLA Piper (JAV).



Daugiausia užkrėtimų nustatyta Ukrainoje, antroje vietoje - Rusijoje, po jų eina Lenkija, Italija ir Vokietija. „Bitcoin“ sąskaita, priimanti mokėjimus, prieš ją uždarydama buvo atlikusi daugiau nei 24 operacijas.

Taip pat skaitykite: „Petya Ransomware“ piratai praranda prieigą prie el. Pašto sąskaitų; Aukos liko per didelės.

Nors išpuolis nėra skirtas Indijos įmonėms, jis buvo nukreiptas į laivybos gigantą „AP Moller-Maersk“ ir Jawaharlal Nehru uostui gresia pavojus, nes įmonė valdo „Gateway“ terminalus uoste.





Kaip plinta „Petya Ransomware“?

Išpirkos programinė įranga naudoja panašų išnaudojimą, anksčiau šio mėnesio anksčiau naudotus didelio masto „WannaCry“ išpirkos programinius išpuolius, kurie buvo skirti pasenusioms „Windows“ versijoms veikiančioms mašinoms, nedaug modifikuojant.

Pažeidžiamumą galima išnaudoti nuotoliniu būdu vykdant kodą kompiuteriuose veikia „Windows XP“ į „Windows 2008“ sistemas.

Išpirkos programinė įranga užkrečia kompiuterį ir paleidžia jį iš naujo naudodama sistemos įrankius. Paleidęs iš naujo, jis užšifruoja MFT lentelę NTFS skaidiniuose ir perrašo MBR pritaikytu krautuvu, kuriame rodomas išpirkos raštas.

Pagal „Kaspersky Labs“, „Norėdami užfiksuoti kredencialus sklaidai, išpirkos programinė įranga naudoja pasirinktinius įrankius,„ a la Mimikatz “. Tai iš „lsass.exe“ proceso išgaunami kredencialai. Po išgavimo kredencialai perduodami „PsExec“ įrankiams arba WMIC, kad jie būtų paskirstyti tinkle. “





Kas nutinka užkrėtus kompiuterį?

Po to, kai Petya užkrečia kompiuterį, vartotojas praranda prieigą prie aparato, kuriame rodomas juodas ekranas su raudonu tekstu:

„Jei matote šį tekstą, jūsų failai nebegalimi, nes jie buvo užšifruoti. Galbūt jūs intensyviai ieškote būdo atkurti failus, tačiau nešvaistykite savo laiko. Niekas negali atkurti jūsų failų be mūsų dešifravimo paslaugos. “

Taip pat yra instrukcijos, kaip sumokėti 300 USD „Bitcoins“ ir būdas įvesti dešifravimo raktą bei nuskaityti failus.





Kaip išlikti saugiam?

Šiuo metu nėra jokio konkretaus būdo, kaip iššifruoti „Petya“ išpirkos programinės įrangos įkaitais laikomus failus, nes jis naudoja tvirtą šifravimo raktą.

Bet saugumo svetainė Miegantis kompiuteris mano, kad sukūrus tik skaitomą failą pavadinimu „perfc“ ir įdėjus jį į „Windows“ aplanką „C“ diske, galima padėti sustabdyti ataką.

Taip pat svarbu, kad žmonės, kurie to dar neturi, nedelsdami atsisiųstų ir įdiegtų senesnių „Windows“ operacinių sistemų „Microsoft“ pataisas, kurios panaikina „EternalBlue“ naudojamą pažeidžiamumą. Tai padės apsaugoti juos nuo panašaus kenkėjiškų programų, tokių kaip „Petya“, išpuolių.

Jei mašina perkraunama ir matote šį pranešimą, nedelsdami išjunkite! Tai yra šifravimo procesas. Jei neįjungiate, failai yra puikūs. pic.twitter.com/IqwzWdlrX6

- „Hacker Fantastic“ (@hackerfantastic) 2017 m. Birželio 27 d


Nors išpirkos programų išpuolių skaičius ir mastas kiekvieną dieną didėja, tačiau taip yra pasiūlė kad naujų infekcijų rizika žymiai sumažėja po pirmųjų kelių išpuolių valandų.

Taip pat skaitykite: „Ransomware“ atakos didėja: Štai kaip išlikti saugiems.

„Petya“ atveju analitikai prognozuoja, kad kodas rodo, kad jis nebus paskleistas už tinklo ribų. Kol kas dar nepavyko išsiaiškinti, kas atsakingas už šią ataką.

Saugumo tyrėjai vis dar nerado būdo, kaip iššifruoti sistemas, užkrėstas „Petya“ išpirkos programomis, ir kadangi net su įsilaužėliais negalima susisiekti dabar, visi nukentėję asmenys kol kas išliks tokie.