Petya Ransomware Attack: Как и кой е заразен; Как да го спрем
Нова атака за извличане на софтуер, която използва модифицирана версия на Уязвимостта на EternalBlue експлоатирани в WannaCry атаки се появи във вторник и вече удари над 2000 компютъра по целия свят в Испания, Франция, Украйна, Русия и други страни.
Атаката е насочена основно към бизнеса в тези страни, докато болница в Питсбург, САЩ също е била засегната. Жертвите на атентата включват Централна банка, Железници, Укртелеком (Украйна), Роснет (Русия), WPP (Великобритания) и DLA Piper (САЩ), наред с други.
Докато най-голям брой инфекции са открити в Украйна, втората по височина в Русия, следвана от Полша, Италия и Германия. Биткойн акаунтът, който приема плащания, е извършил повече от 24 транзакции преди да бъде закрит.
Прочетете също: Хакерите на Petya Ransomware губят достъп до имейл акаунти; Жертвите, оставени на въже,Въпреки че атаката не е насочена към бизнеса в Индия, тя е насочена към кораба-гигант AP Moller-Maersk и пристанището Jawaharlal Nehru е застрашено, тъй като компанията управлява терминалите Gateway на пристанището.
Как се разпространява Retsomware на Petya?
Ransomware използва подобен експлоататор, използван при широкомащабните атаки за извличане на WannaCry по-рано този месец, които са насочени към машини, работещи в остарели версии на Windows, с малко изменения.
Уязвимостта може да бъде използвана чрез отдалечено изпълнение на код на компютри работещ с Windows XP към системите на Windows 2008.
Ransomware заразява компютъра и го рестартира с помощта на системни инструменти. След рестартиране той криптира MFT таблицата в NTFS дялове и презаписва MBR с персонализиран товарач, показващ бележката за откуп.
Според Лаборатории Касперски, „За да заснемете идентификационни данни за разпространение, ransomware използва персонализирани инструменти, a la Mimikatz. Те извличат идентификационни данни от процеса lsass.exe. След извличане идентификационните данни се предават на PsExec инструменти или WMIC за разпространение в мрежа. '
Какво се случва след заразяване на компютър?
След като Петя заразява компютър, потребителят губи достъп до машината, която показва черен екран с червен текст върху него, който гласи следното:
„Ако видите този текст, вашите файлове вече не са достъпни, защото са били криптирани. Може би сте заети с търсенето на начин за възстановяване на вашите файлове, но не си губете времето. Никой не може да възстанови вашите файлове без нашата услуга за декриптиране. “
И има инструкции относно плащането на 300 долара в биткойни и начин за въвеждане на декриптиращия ключ и извличане на файловете.
Как да останете в безопасност?
Понастоящем няма конкретен начин за декриптиране на файловете, държани като заложници от извличащия софтуер на Petya, тъй като използва солиден ключ за криптиране.
Но сайт за сигурност Кърващ компютър счита, че създаването на файл само за четене, наречен „perfc“ и поставянето му в папката на Windows в C устройство може да помогне за спиране на атаката.
Важно е също така хората, които все още нямат, незабавно изтеглят и инсталират лепенката на Microsoft за по-стари операционни системи Windows, която прекратява уязвимостта, експлоатирана от EternalBlue. Това ще ви помогне да ги предпазите от атака от подобен щам за злонамерен софтуер като Petya.
Ако машината се рестартира и видите това съобщение, изключете незабавно! Това е процесът на криптиране. Ако не включите, файловете са добре. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27 юни 2017 г.
Въпреки че броят и мащабът на атаките за извличане на софтуер се увеличават с всеки изминал ден, това е предложено че рискът от нови инфекции намалява значително след първите няколко часа от атаката.
И в случая на Петя, анализаторите прогнозират, че кодът показва, че няма да се разпространи извън мрежата. Все още никой не успя да разбере кой е отговорен за тази атака.
Изследователите по сигурността все още не са намерили начин да декриптират системите, заразени от изтребителния софтуер на Petya, и тъй като сега дори и хакерите не могат да бъдат свързвани, всички засегнати ще останат такива за момента.
