2017-06-27 20:10:26

Upozorenje - nova ransomware kampanja Petya

U tijeku je nova kampanja zlonamjernim ransomware sadržajem te su slučajevi zaraze zabilježeni u Ujedinjenom Kraljevstvu, Rusiji, Indiji, Nizozemskoj, Španjolskoj, Danskoj i drugima. Trenutna su meta računala raznih korporacija, energetskih postrojenja te banaka.

Prema više različitih izvora, nova inačica zlonamjernog ransomware sadržaja nazvanog Petya (negdje Petwrap) munjevito se širi koristeći više Windows ranjivosti. Iako se još ne zna točan izvor širenja zlonamjernog sadržaja, moguće je da Petya koristi EternalBlue ranjivost (ranjivost SMBv1 protokola za koju je izdana zakrpa MS17-010, istu onu koji je koristio i WannaCry u prošloj velikoj kampanji, u kombinaciji s ranjivosti Microsoft Office paketa koja je zakrpana u travnju, a odnosi se na oznaku CVE-2017-0199.

Petya je složen zlonamjerni sadržaj koji djeluje veoma različito od ostalih vrsta zlonamjernog ransomware sadržaja te, za razliku od ostalih, ne šifrira podatke na računalu redom i zasebno. Petya, nakon zaraze, ponovno pokreće računalo korisnika te šifrira MFT datoteku (engl. master file table) te onemogućava rad MBR zapisu (engl. master boot record) što rezultira ograničenim pristupom uređaju.

U slučaju uspješno izvedenog napada, Petya će zamijeniti MBR zapis vlastitim zlonamjernim kodom što onemogućava računalu pokretanje. Na samom zaslonu zaraženog računala pokazat će se poruka u kojoj su sadržani podaci za uplati te poruka napadača koju prenosimo u nastavku:

"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service."

Prema riječima sigurnosnim stručnjacima iz tvrtke VirusTotal, samo je 13 od 61 sigurnosnih usluga u mogućnosti otkriti Petya zlonamjerni sadržaj.

Ovaj ransomware zlonamjerni sadržaj kao kontakt podatke koristi adresu elektroničke pošte wowsmith12345@posteo.net i kao naknadu za dešifriranje podataka traži isplatu 300 američkih dolara u Bitcoin valuti.

Točni načini ubrzanog širenja zlonamjernog sadržaja Petya nisu utvrđeni, ali prevladava mišljenje kako je riječ o korištenju SMBv1 EternalBlue ranjivosti na računalima koja nisu izvršila nadogradnju svojeg operacijskog sustava Windows. Potencijalni vektor širenja je i maliciozni Word dokument koji korisnici dobivaju kao privitak u e-mailu. 

Zaštititi se možete hitnom nadgradnjom vašeg računala (pogotovo nadgradnje koje se odnosi na EternalBlue - MS17-010) te onemogućavanjem SMBv1 protokola za dijeljenje podataka, kao i primjenom zakrpe CVE-2017-0199.

Preporuka je također da redovito radite sigurnosnu kopiju vaših podataka te da ju držite odvojenu od računala. Važno je da na uređaju imate instaliran valjan, ažuran i aktivan antivirus te da se prilikom služenja internetom ponašate odgovorno i oprezno. Ne otvarajte privitke u sumnjivim mailovima i po primitku ih izbrišite. 


Javni web CARNeta