Petya Ransomware Attack: Jak a kdo je nakažen; Jak to zastavit

Nový útok ransomware, který používá upravenou verzi Chyba zabezpečení EternalBlue vykořisťovaný v EU WannaCry útoky se objevil v úterý a již zasáhl více než 2000 počítačů po celém světě ve Španělsku, Francii, Ukrajině, Rusku a dalších zemích.




Útok se zaměřil především na podniky v těchto zemích, zatímco byla zasažena také nemocnice v Pittsburgu v USA. Mezi oběti útoku patří mimo jiné centrální banka, železnice, Ukrtelecom (Ukrajina), Rosnett (Rusko), WPP (UK) a DLA Piper (USA).



Zatímco nejvyšší počet infekcí byl nalezen na Ukrajině, druhý nejvyšší v Rusku, následovaný Polskem, Itálií a Německem. Bitcoinový účet přijímající platby dokončil před vypnutím více než 24 transakcí.



Přečtěte si také: Hackeři Petya Ransomware ztratí přístup k e-mailovým účtům; Oběti zůstaly uvízlé.

Přestože útok není zaměřen na podniky v Indii, zaměřil se na lodní gigant AP Moller-Maersk a přístav Jawaharlal Nehru je ohrožen, protože společnost provozuje v přístavu terminály Gateway.





Jak se šíří Petya Ransomware?

Ransomware používá podobné vykořisťování používané při rozsáhlých útocích na ransomware WannaCry počátkem tohoto měsíce, které cíleně směřovaly na stroje běžící na zastaralých verzích Windows s malou úpravou.

Tuto chybu zabezpečení lze zneužít pomocí vzdáleného spuštění kódu na PC se systémem Windows XP do systémů Windows 2008.

Ransomware infikuje počítač a restartuje jej pomocí systémových nástrojů. Po restartování šifruje tabulku MFT v oddílech NTFS a přepíše MBR pomocí přizpůsobeného zavaděče zobrazujícího výkupné.

Podle Kaspersky Labs„K zachycení pověření pro šíření používá ransomware vlastní nástroje, a la Mimikatz. Tyto extrahují pověření z procesu lsass.exe. Po extrakci jsou pověření předána nástrojům PsExec nebo WMIC k distribuci uvnitř sítě. “





Co se stane po infikování PC?

Poté, co Petya infikuje počítač, ztratí uživatel přístup ke stroji, který na něm zobrazuje černou obrazovku s červeným textem, která zní následovně:

„Pokud uvidíte tento text, vaše soubory již nejsou přístupné, protože byly zašifrovány. Možná jste zaneprázdněni hledáním způsobu, jak obnovit své soubory, ale neztrácejte čas. Nikdo nemůže obnovit vaše soubory bez naší dešifrovací služby. “

A existují instrukce týkající se platby 300 bitů v bitcoinech a způsob, jak zadat dešifrovací klíč a načíst soubory.





Jak zůstat v bezpečí?

V současné době neexistuje žádný konkrétní způsob dešifrování souborů, které jsou rukojmím Petya ransomware, protože používá solidní šifrovací klíč.

Ale web o zabezpečení Bleeping Computer věří, že vytvoření souboru jen pro čtení s názvem „perfc“ a jeho umístění do složky Windows na jednotce C může pomoci zastavit útok.

Je také důležité, aby lidé, kteří to ještě neučinili, okamžitě stáhli a nainstalovali opravu Microsoft pro starší operační systémy Windows, která ukončí zranitelnost využívanou EternalBlue. To jim pomůže chránit je před útokem podobného druhu malwaru, jako je Petya.

Pokud se počítač restartuje a tato zpráva se zobrazí, okamžitě jej vypněte! Toto je proces šifrování. Pokud se nezapnete, soubory jsou v pořádku. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27. června 2017


Zatímco počet a velikost útoků ransomware roste s každým dalším dnem, je to navrhl že riziko nových infekcí se po prvních několika hodinách útoku výrazně snižuje.

Přečtěte si také: Ransomware útočí na vzestup: Zde je návod, jak zůstat v bezpečí.

A v případě Petya analytici předpovídají, že kód ukazuje, že se nerozšíří mimo síť. Nikdo zatím nebyl schopen zjistit, kdo je za tento útok zodpovědný.

Vědci v oblasti bezpečnosti stále nenašli způsob, jak dešifrovat systémy infikované renomovaným softwarem Petya, a protože ani hackeři nemohou být nyní kontaktováni, všichni, kterých se to týká, zůstanou prozatím.