Útok Petya ransomware: jak a kdo je infikován; jak to zastavit

V úterý se objevil nový útok ransomware, který využívá upravenou verzi zranitelnosti EternalBlue využívané při útokech WannaCry a již zasáhl více než 2000 počítačů po celém světě ve Španělsku, Francii, Ukrajině, Rusku a dalších zemích.

Útok se zaměřil především na podniky v těchto zemích, zatímco byla zasažena také nemocnice v Pittsburgu v USA. Mezi oběti útoku patří mimo jiné centrální banka, železnice, Ukrtelecom (Ukrajina), Rosnett (Rusko), WPP (UK) a DLA Piper (USA).

Zatímco nejvyšší počet infekcí byl nalezen na Ukrajině, druhý nejvyšší v Rusku, následovaný Polskem, Itálií a Německem. Bitcoinový účet přijímající platby dokončil před vypnutím více než 24 transakcí.

Přečtěte si také: Hackeři Petya Ransomware ztratí přístup k e-mailovým účtům; Oběti zůstaly uvízlé.

Přestože útok není zaměřen na podniky v Indii, zaměřil se na lodní gigant AP Moller-Maersk a přístav Jawaharlal Nehru je ohrožen, protože společnost provozuje terminály Gateway v přístavu.

Jak se šíří Petya Ransomware?

Ransomware používá podobné vykořisťování používané při rozsáhlých útocích na ransomware WannaCry počátkem tohoto měsíce, které se zaměřily na stroje běžící na zastaralých verzích Windows s malou úpravou.

Tuto chybu zabezpečení lze zneužít pomocí vzdáleného spuštění kódu na počítačích se systémem Windows XP až Windows 2008.

Ransomware infikuje počítač a restartuje jej pomocí systémových nástrojů. Po restartování šifruje tabulku MFT v oddílech NTFS a přepíše MBR pomocí přizpůsobeného zavaděče zobrazujícího výkupné.

Podle společnosti Kaspersky Labs „Ransomware používá ke snímání pověření pro šíření vlastní nástroje, a to Mimikatz. Tyto extrahují pověření z procesu lsass.exe. Po extrakci jsou pověření předána nástrojům PsExec nebo WMIC k distribuci uvnitř sítě. “

Co se stane po infikování PC?

Poté, co Petya infikuje počítač, ztratí uživatel přístup ke stroji, který na něm zobrazuje černou obrazovku s červeným textem, která zní následovně:

„Pokud uvidíte tento text, vaše soubory již nejsou přístupné, protože byly zašifrovány. Možná jste zaneprázdněni hledáním způsobu, jak obnovit své soubory, ale neztrácejte čas. Nikdo nemůže obnovit vaše soubory bez naší dešifrovací služby. “

A existují instrukce týkající se platby 300 bitů v bitcoinech a způsob, jak zadat dešifrovací klíč a načíst soubory.

Jak zůstat v bezpečí?

V současné době neexistuje žádný konkrétní způsob dešifrování souborů, které jsou rukojmím Petya ransomware, protože používá solidní šifrovací klíč.

Bezpečnostní web Bleeping Computer se však domnívá, že vytvoření souboru jen pro čtení s názvem „perfc“ a jeho umístění do složky Windows na jednotce C může pomoci zastavit útok.

Je také důležité, aby lidé, kteří to ještě neučinili, okamžitě stáhli a nainstalovali opravu Microsoft pro starší operační systémy Windows, která ukončí zranitelnost využívanou EternalBlue. To jim pomůže chránit je před útokem podobného druhu malwaru, jako je Petya.

Pokud se počítač restartuje a tato zpráva se zobrazí, okamžitě jej vypněte! Toto je proces šifrování. Pokud se nezapnete, soubory jsou v pořádku. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@Hackerfantastic) 27. června 2017

Zatímco počet a velikost útoků ransomware roste s každým dalším dnem, doporučuje se, aby se riziko nových infekcí po prvních několika hodinách útoku výrazně snížilo.

Také si přečtěte: Ransomware Útoky na vzestupu: Zde je návod, jak zůstat v bezpečí.

A v případě Petya analytici předpovídají, že kód ukazuje, že se nebude šířit mimo síť. Nikdo zatím nebyl schopen zjistit, kdo je za tento útok zodpovědný.

Vědci v oblasti bezpečnosti stále nenašli způsob, jak dešifrovat systémy nakažené ransomwarem Petya, a protože ani hackeři nemohou být nyní kontaktováni, zůstanou všichni prozatím takoví.