Powtórka z rozrywki. Tylko, że dużo gorsza. Petya atakuje.

Echa ransomware WannaCry nie zdążyły jeszcze ucichnąć, a na świecie spustoszenie sieje kolejny twór, nazwany Petya. Na początku media informowały, że ofiarami wirusa są głównie firmy z Ukrainy. Szybko jednak okazało się, że problem ma charakter globalny. Najnowsze raporty firmy McAfee wskazują, że obecnie najwięcej zarażeń zanotowano w Stanach Zjednoczonych.

UWAGA! Najnowsze informacje wskazują na to, że Petya nie jest ransomwarem, tylko wiperem! Wirus nadpisuje MBR oraz 24 następne sektory dysku. Zadaniem wipera jest niszczenie, a nie, jak w przypadku ransomware, zarabianie pieniędzy z okupu. Wygląda na to, że początkowa informacja medialna o typie wirusa była tylko “przynętą”, choć część badaczy sugeruje, że to zachowanie wirusa jest błędem programistycznym jego twórców.

Na początek informacje najważniejsze – jak uchronić się przed Petya?

  1. Jeżeli widzisz na swoim monitorze taki komunikat:

NATYCHMIAST wyłącz komputer. W tym momencie Petya szyfruje twoje dane. Jeżeli przerwiesz ten proces, będziesz mógł zabezpieczyć swoje dane np. wpinając HDD jako dysk zewnętrzny do innego komputera. Z doniesień portalu malwaretech.com wynika, że wyłączenie komputera w czasie wyświetlania wyżej pokazanego komunikatu nie zabezpiecza przed zaszyfrowaniem danych, ale może zabezpieczyć przed zaszyfrowaniem MFT (Master File Table). Dzieje się tak, ponieważ wirus szyfruje 1MB każdego pliku, który posiada obsługiwane rozszerzenie (lista poniżej) jeszcze PRZED wyłączeniem komputera i odpaleniem boot loadera.

Lista rozszerzeń plików, które szyfruje Petya:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

2. Niektórzy badacze twierdzą, że istnieje kill-switch zabezpieczający komputer przed zarażeniem. Polega on na utworzeniu w C:\Windows pliku perfc i ustawienie mu praw tylko do odczytu.

3. Jeżeli zostaliście już zarażeni pod żadnym pozorem nie płaćcie okupu. Skrzynka pocztowa przestępców została zablokowana przez administratorów serwera pocztowego z którego korzystali, a jako, że według komunikatu wirusa o zapłaceniu okupu należy poinformować drogą mailową, jest to bezcelowe gdyż przestępcy i tak tej wiadomości nie zobaczą.

4. Fakt, że posiadasz zaktualizowanego Windowsa (nawet Windowsa 10!) nie chroni cię przed wirusem. Pod żadnym pozorem nie otwieraj więc podejrzanych załączników pakietu Office (wirus wykorzystuje lukę CVE-2017-0199) oraz nie łącz się z sieciami co do których nie masz pewności, że są CAŁKOWICIE bezpieczne. Nawet jeden zarażony komputer w sieci może zainfekować wszystkie inne.

 

Mapa zarażeń wirusem Petya stworzona przez McAfee

Jeden z wektorów ataku jest analogiczny jak w przypadku WannaCry – exploit EternalBlue (pochodzący ze słynnego wycieku danych NSA) w protokole SMB w wersji 1 i 2. Exploit, na którego Microsoft wypuścił łatkę już podczas zamieszania z poprzednim ransomware. Jadnakże, wygląda na to, że wirus wykorzystuje też inne, nieznane jeszcze podatności do propagacji. Prawdopodobnie jest to podatność CVE-2017-0199, ujawniona w kwietniu tego roku i wykorzystująca pakiet Microsoft Office (wersje 2007-2016) do wykonywania kodu zaszytego w specjalnie spreparowanych dokumentach. Prawdopodobny jest więc wektor ataku wykorzystujący zainfekowany załącznik rozsyłany przez pocztę e-mail.

Mało tego – ofiarą wirusa padają też Windowsy 10 z zainstalowanymi najnowszymi aktualizacjami. Jest to możliwe dzięki wykorzystaniu mechanizmów WMIC i PSEXEC, które umożliwiają zdalne wykonywanie poleceń komputerom znajdującym się w tej samej sieciTo właśnie dlatego skala ataku jest tak porażająca – jeden zainfekowany komputer w sieci może w ciągu kilku sekund zarazić wszystkie inne komputery znajdujące się w tej samej sieci. Przy WannaCry komputery były chronione przez filtry założone przez providerów, które blokowały ruch przychodzący po niebezpiecznych portach Samby. W przypadku ransomware Petya operatorzy internetowi nie mają tej możliwości, bo gdy jedna osoba uruchomi otrzymany w załączniku plik wirusa, momentalnie zaraża wszystkie komputery w sieci. Można więc powiedzieć, że Petya to taki WannaCry na sterydach. Dodatkowy sposób rozsiewania wirusa diametralnie zmienił skalę ataku.

Ekran wyświetlany na zarażonym komputerze.

Pierwsza wersja wirusa Petya zaobserwowana została w marcu 2016 roku. Propagowana była jako załącznik w wiadomości e-mail. Robak na celownik brał komputery działające pod kontrolą systemu Windows, infekował MBR (strukturę danych zapisaną w pierwszym sektorze dysku twardego) a następnie wykonywał payload, który szyfrował tablicę NTFS jednocześnie domagając się opłaty w Bitcoinach.

 

Według ukraińskiej policji bezpośrednią przyczyną ataku była aktualizacja do popularnego na Ukrainie oprogramowania M.E.doc wykorzystywanego do obsługi księgowości w firmach. Jak twierdzi firma tworząca to oprogramowania, padła ona ofiarą wirusa, który podmienił plik z aktualizacją programu na złośliwy plik binarny. Niektórzy badacze twierdzą, że Polska została zarażona niejako przez przypadek – wiele firm przyznaje się, że posiada swoje oddziały na Ukrainie. Wirus mógł więc rozprzestrzenić się przez zainfekowane sieci tych firm trafiając na komputery w Polsce.

Artykuł będzie rozwijany…

Zostaw komentarz

To też może ci się spodobać