Nové ohnisko malware

Jen minulý měsíc, WannaCry z novin po celém světě poté, co se podařilo nakazit více než 200 000 počítačů ve více než 150 zemích pomocí chybu zabezpečení v systému Windows. V posledních několika dnech jsme viděli další široké útok, který byl nejprve považovány za vypuknutí ransomware. Má řadu různých názvů, ale je nejčastěji označovány jako Petya or NotPetya.
Another big malware attack - Petya or NotPetya Péťa je známé ransomware, který byl asi na chvíli, ale jeho vývojář popřel účast v tomto novém útoku, tedy proč se jí říká NotPetya někteří.  Na první pohled to působí jako typické ransomware, zašifruje soubory a pak se zeptá, že oběti zaplatit k jejich obnovení. Na další vyšetřování realita je zcela odlišná. Vědci dospěli k závěru, že NotPetya není ve skutečnosti ransomware, ale spíše wiper malware. Co navrhují, je že to není chtěl vydělat peníze, to je chtěl zničit systémy.

Ukrajinská společnost, věřil k byli ground zero

Vědci v různých bezpečnostních společností věří, že účetnictví dodavatele softwaru založené na Ukrajině, M.E.Doc, omylem šířit malware, který vedl k infekci tisíce počítačů. Ačkoli společnost, sama to popřel, malware odborníci se domnívají, že společnost byl hacknutý a jejich servery jsou ohroženy. Hackeři vydala aktualizaci škodlivého softwaru a zákazníci, kteří nainstalovali skončil infikování počítače s NotPetya. Malware pak získala pověření k místním sítím a s použitím určitých nástrojů, se podařilo rozšířit na počítače ve stejné síti. Bylo také hlášeno, že zneužití používaný WannaCry, EternalBlue, spolu s Eternalromance se používá v tomto útoku. Dobrou zprávou je, že není šíří prostřednictvím Internetu, pouze přes LAN. To, však vyvolává otázku, jak se malware podařilo rozšířila do dalších zemí, kde infikované společnosti neměly žádný kontakt s M.E.Doc.Petya or NotPetya

Jak funguje NotPetya?

Stejně jako původní Péťa ransomware NotPetya nelze zašifrovat soubory jeden po druhém. Co to dělá je to restartuje počítač a šifruje pevný disk hlavní tabulky souborů (MFT) a dělá hlavního spouštěcího záznamu (MBR) schopen správně fungovat. Péťa nahradí šifrované kopii MBR se škodlivým kódem a váš počítač není schopen bootovat. Místo toho zobrazí výkupné. To je, kde NotPetya se liší od Péťa. Comae technologie výzkumník Matt Suichemu, uvádí, že původní Péťa ransomware zašifruje disk způsobem tak, aby to mohl zvrátit, podle potřeby. NotPetya, na straně druhé nemá trvalé a nevratné poškození disku.

Odborníci si, že NotPetya není vydělat peníze, to je chtěl zničit

Když celý proces je dokončen, nakažený počítač zobrazí o výkupné. Zpráva uvádí, že soubory byly zašifrovány a že je třeba zaplatit 300 dolarů v hodnotě z Bitcoin na zadanou adresu. Když se oběť zaplatí výkupné, by měly poslat své ID platby a osobní instalační klíč, který je uveden v poznámce, na wowsmith123456@posteo.net. Německý e-mailové poskytovatel však učinila rozhodnutí uzavřít tento účet, což znamená, že se nemůže dostat do styku s hackery. I v případě, že platíte, zločinci by žádný způsob, jak zjistit, kdo zaplatil.

To není jediný důvod, proč by neměl platit. Další vyšetřování malware odhalili, že lidé za útok nemají v úmyslu obnovit všechny soubory. To prostě není možné. Výše uvedené instalace klíče ID je zásadní součástí procesu dešifrování. Ukládá informace o oběti a dešifrovací klíč. ID instalace, které vidíte v poznámce výkupné je jen náhodná data, což naznačuje, že NotPetya nebyl chtěl vydělat peníze.

Malware vědci se nyní kategorizaci NotPetya, nikoliv jako ransomware, ale jako stěrač, který v podstatě ničí vaše soubory s žádným způsobem obnovit. Zatímco to neodstraní ve skutečnosti žádné soubory v systému, jakmile vaše soubory jsou šifrována, neexistuje žádný způsob, jak dešifrovat, takže se k ničemu. A to je myšlenka být úmyslné. Což znamená, že se do toho, vývojáři za infekce nebyly cílem je vydělávat peníze.

Zdá se, že Ukrajina má největší množství obětí. Bylo zjištěno, že vládní organizace řídící katastrofy Černobylu musel přepnout na ruční záření sledování, protože museli vypnout všechny počítače se systémem Windows. Zdá se, že major ukrajinských energetických společností také ohroženi. Vidět, jak Ukrajina vzal zasaženo a fakt, že tam to začalo, předpokládá se na zemi byl zamýšlený cíl v co někteří věří, že byl útok národního státu.

Co jste mohli udělali aby se zabránilo katastrofální výsledky?

Zálohování. Pokud WannaCry útoku se jednotliví uživatelé a obchodní něco naučila, je důležité mít zálohu. Když neexistuje žádný způsob dešifrování souborů, i v případě, že platíte, je jediná věc, která by mohla mít uloženo spoustu problémů soubory uložené někde jinde. Žijeme ve světě, kde malware číhá na každém rohu, na internetu ale lidé nejsou zdaleka bezpečnostní opatrné. Je to dokázáno, každý den, kdy uživatelé hlásí, že jejich soubory byly zašifrovány a neexistuje žádná záloha.

Cyber hrozba je skutečná. Nezáleží na tom, kdo byli hlavní cíle tohoto útoku, je důležité pochopit, že to není něco, co se vám nemůže stát, a proto není nutné být opatrný. A dokud lidé uvědomit, že a ujistěte se, že dělají vše pro to, aby se ochránili, to bude jen horší.

Odkazy

Napsat komentář