Uusi haittaohjelma puhkeaminen

Vain viime kuussa WannaCry otsikoihin ympäri maailmaa kun se onnistui saastuttaa yli 200 000 tietokonetta yli 150 maassa Windowsin haavoittuvuuden avulla. Parina viime päivänä näimme toinen laajaa hyökkäys, joka oli ensin uskotaan ransomware puhkeaminen. On erilaisia nimiä, mutta se on yleisimmin kutsutaan Petya or NotPetya.
Another big malware attack - Petya or NotPetya Petja tiedetään ransomware, joka on ollut jo jonkin aikaa, mutta kehittäjän on kiistänyt osallistuminen tämä uusi hyökkäys, joten miksi sitä kutsutaan NotPetya noin.  Ensi silmäyksellä se toimii kuten tyypillinen ransomware, se salaa tiedostot ja sitten kysyy, uhrit maksavat palauttaa ne. Lisätutkimuksen perusteella todellisuudessa aivan erilainen. Tutkijat ovat tulleet siihen tulokseen, ettei NotPetya ole oikeastaan ransomware vaan pikemminkin pyyhin malware. Mitä he ehdottavat, on ei ole tarkoitus tehdä rahaa, se on tarkoitus tuhota järjestelmiä.

Ukrainalaisyritys uskotaan olleen ground Zero-muistomerkki

Tutkijat eri turva-alan yritykset uskovat, että kirjanpidon ohjelmistotoimittajan perustuu Ukrainassa, M.E.Doc, on vahingossa levinnyt haittaohjelmat, joka johti tuhansia tietokoneita tartunnan. Vaikka yhtiö itse on kiistänyt tämän malware asiantuntijat uskovat, että yhtiö oli hakkeroitu ja niiden olivat vaarassa. Hakkerit esittämislupa ilkeä pehmo ajantasaistaa ja Asiakkaat, joka asennetaan se päätyi tarttuu NotPetya tietokoneisiinsa. Haittaohjelmia sitten saanut käyttäjätiedot verkkoihin ja käyttämällä tiettyjä työkaluja, se onnistui levittää tietokoneita samassa verkossa. On myös raportoitu, että käytetään WannaCry, EternalBlue sekä Eternalromance hyödyntää käytetään tämän hyökkäyksen. Hyvä uutinen on, että se ei levitä Internetiä vain lähiverkon. Herää kuitenkin kysymys siitä, miten haittaohjelmat onnistuneet levisi muihin maihin, joissa tartunnan yritykset eivät ole olleet kosketuksissa M.E.Doc.Petya or NotPetya

Miten NotPetya toimii?

Aivan kuten alkuperäinen Petya ransomware NotPetya ei salaa tiedostot yksi toisensa jälkeen. Mitä se on se käynnistää tietokoneen uudelleen ja salaa kiintolevyn päätiedostotaulukko (MFT) ja tekee master boot record (MBR) pysty toimimaan kunnolla. Petja korvaa salatun MBR-version haitallista koodia ja tietokone on estynyt jotta etu. Sen sijaan näkyviin lunnaita merkille. Tämä on, jos NotPetya poikkeaa Petya. Comae teknologioiden tutkija Matt Suiche todetaan, alkuperäinen Petya ransomware salaa levyn tavalla niin, että se voisi kumota tehtyjä muutoksia tarvittaessa. NotPetya, tekee sen sijaan, pysyviä ja peruuttamattomia vaurioita levy.

Asiantuntijat sitä mieltä, NotPetya ei ole tarkoitus tehdä rahaa, se on tarkoitus tuhota

Kun koko prosessi on valmis, tartunnan saaneen tietokoneen näyttää lunnaita merkille. Sanoma tiedostot salattu ja että sinun täytyy maksaa 300 dollaria arvoinen Bitcoin annettu osoite. Kun uhri maksaa lunnaita, ne pitäisi lähettää Maksutunnuksen ja henkilökohtainen asennus avain, joka on säädetty kohdassa, wowsmith123456@posteo.net. Saksan sähköpostipalvelun tarjoaja on kuitenkin tehnyt päätöstä sulkea tilille, mikä tarkoittaa, että et voi saada yhteyttä hakkerit. Vaikka maksat, rikollisia olisi mitenkään tietää, kuka maksoi.

Tämä ei ole ainoa syy, miksi sinun ei pitäisi maksaa. Lisätutkimuksia malware on paljastanut, että ihmiset takana hyökkäys ei ole aikomustakaan palauttaa tiedostoja. Yksinkertaisesti ei ole mahdollista. Edellä mainittujen asennus key ID keskeinen osa salauksen purkaminen. Se tallentaa tiedot uhrin ja salausavainta. Näet lunnaita merkille Asennustunnus on vain satunnaista tietoa, mikä viittaa siihen, että NotPetya ei ollut tarkoitus tehdä rahaa.

Haittaohjelmat tutkijat ovat nyt luokitella NotPetya, ransomware vaan pyyhin, joka pohjimmiltaan tuhoaa tiedostoja ei voi palauttaa ne. Vaikka se ei oikeastaan poistaa järjestelmän tiedostoja, kun tiedostot salataan, ei mitenkään purkaa, joka jättää heidät hyödytön. Ja tämä ajatus tarkoituksellisena. Mikä tarkoittaa, että menossa tähän kehittäjät takana infektio pyrkivät ei tehdä rahaa.

Ukrainan näyttää suurin määrä uhreja. On ilmoittanut, hallitus organisaation hallinta Tšernobylin katastrofin alueelle piti siirtyä manuaalinen säteilyvalvonta koska ne oli kiinni heittää aivan Akkuna tietokone. Major Ukrainan energia-alan yritykset näyttävät ovat kärsineet. Koska Ukraina vei eniten ja se, että kaikki alkoi on, uskotaan, maa oli tarkoitettu tavoite, mitä jotkut uskovat ovat olleet kansallisvaltioiden hyökkäys.

Mitä olisit voinut valita estämiseksi tuhoisia tuloksia?

Varmuuskopiointi. Jos WannaCry hyökkäys on opettanut sekä yksittäisille käyttäjille että jotain, on tärkeää ottaa varmuuskopio. Koska ei ole mitään keinoa purkaa tiedostot, vaikka maksat, ainoa asia, joka olisi voinut pelastaa sinut paljon vaivaa on tallennettu jonnekin muualle. Elämme maailmassa, jossa malware vaanii jokaisen kulman Internetissä, mutta ihmiset eivät todellakaan ole varovainen turvallisuus. Tämä on osoittautunut joka päivä, kun käyttäjät ovat kertoneet, että ne tiedostot on salattu ja ei varmuuskopio.

Cyber uhka on todellinen. Riippumatta siitä, kuka tämän hyökkäyksen pääkohteita olivat on tärkeää ymmärtää, että se ei ole jotain, että sellaista voi tapahtua sinulle, ja siksi sinun ei tarvitse olla varovainen. Ja ennen kuin ihmiset ymmärtävät, että ja varmista, että he tekevät kaiken voitavansa suojellakseen itseään, se tulee vain pahenee.

Viitteet

Vastaa