Petya napada ransomwarea: kako i tko je zaražen; kako to zaustaviti

Novi ransomware napad koji koristi modificiranu verziju ranjivosti EternalBlue iskorištavan u napadima WannaCry pojavio se u utorak i već je pogodio više od 2000 računala širom svijeta u Španjolskoj, Francuskoj, Ukrajini, Rusiji i drugim zemljama.

Napad je uglavnom bio usmjeren na poduzeća u tim zemljama, dok je pogođena i bolnica u Pittsburgu u SAD-u. Žrtve napada između ostalih uključuju Centralnu banku, Željeznice, Ukrtelecom (Ukrajina), Rosnett (Rusija), WPP (UK) i DLA Piper (SAD).

Dok je najveći broj infekcija pronađen u Ukrajini, drugi je najveći u Rusiji, a slijede Poljska, Italija i Njemačka. Bitcoin račun koji prihvaća plaćanje izvršio je više od 24 transakcije prije gašenja.

Također pročitajte: Petya Ransomware hakeri izgubili pristup računima e-pošte; Žrtve su ostavljene na cjedilu.

Iako napad nije usmjeren na tvrtke u Indiji, pogodio je brodski div AP Moller-Maersk, a luka Jawaharlal Nehru ugrožena je jer tvrtka upravlja lukama terminala u luci.

Kako se širi Petya Ransomware?

Ransomware koristi sličan eksploataciju koji se koristi u velikim napadima WannaCry ransomwarea ranije ovog mjeseca, koji su ciljali strojeve koji rade na zastarjelim verzijama Windowsa, s malim izmjenama.

Ranjivost se može iskoristiti daljinskim izvršavanjem koda na računalima sa sustavom Windows XP na Windows 2008 sustavima.

Ransomware inficira računalo i ponovno ga pokreće pomoću sistemskih alata. Nakon ponovnog pokretanja, kriptira MFT tablicu u NTFS particijama i prepisuje MBR s prilagođenim utovarivačem koji prikazuje bilješku o otkupnini.

Prema laboratorijama Kaspersky, "Da biste snimili vjerodajnice za širenje, ransomware koristi prilagođene alate, a la Mimikatz. Ove ekstrakt vjerodajnice iz postupka lsass.exe. Nakon ekstrakcije vjerodajnice se šalju PsExec alatima ili WMIC-u za distribuciju unutar mreže."

Što se događa nakon infekcije računala?

Nakon što Petya zarazi računalo, korisnik gubi pristup stroju koji prikazuje crni ekran s crvenim tekstom na kojem piše kako slijedi:

"Ako vidite ovaj tekst, vaše datoteke više nisu dostupne jer su šifrirane. Možda ste zauzeti traženjem načina za oporavak datoteka, ali ne gubite naše vrijeme. Nitko ne može vratiti vaše datoteke bez naše usluge dešifriranja."

A tu su i upute koje se tiču ​​plaćanja 300 dolara u bitcoinima i način unosa ključa za dešifriranje i dohvaćanja datoteka.

Kako ostati siguran?

Trenutno, ne postoji konkretan način za dešifriranje datoteka koje je držao kao taoce od strane Petya ransomwarea jer koristi solidan ključ za šifriranje.

Ali sigurnosno web mjesto Bleeping Computer vjeruje da stvaranje datoteke samo za čitanje pod nazivom 'perfc' i stavljanje u mapu Windows na C pogonu može pomoći zaustaviti napad.

Važno je i da ljudi, koji još uvijek nemaju, odmah preuzmu i instaliraju Microsoftov zakrpa za starije Windows operativne sustave koji ukida ranjivost koju koristi EternalBlue. Na taj ćete se način zaštititi od napada sličnog štetnog softvera kao što je Petya.

Ako se stroj ponovno pokrene i vidite tu poruku, isključite odmah! Ovo je postupak šifriranja. Ako je ne uključite, datoteke su u redu. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27. lipnja 2017

Iako se broj i veličina napada ransomwarea povećava sa svakim danom, sugerira se da se rizik od novih infekcija znatno smanji nakon prvih nekoliko sati napada.

Također pročitajte: Ransomware napadi u usponu: Evo kako ostati siguran.

A u slučaju Petye, analitičari predviđaju da se kôd pokazuje da se neće proširiti izvan mreže. Nitko još nije uspio doznati tko je odgovoran za ovaj napad.

Sigurnosni istraživači još uvijek nisu pronašli način za dešifriranje sustava zaraženih Petya ransomware-om, a budući da se čak ni hakeri sada ne mogu obratiti, svi pogođeni za sada će tako ostati.