See rünnak on murelik, sest see on teine suur ransomware rünnak kahe kuu jooksul, mis on mõjutanud ettevõtteid kogu maailmas. Võite meeles pidada, et mais oli Ühendkuningriigi riiklik tervishoiuamet, NHS, nakatunud pahavara WannaCry poolt. See programm mõjutas NHS-i ja paljusid teisi organisatsioone kogu maailmas. WannaCry ilmus esmakordselt avalikkusele, kui nakatunud dokumendid, mis olid seotud NHSiga, said veebipõhise häkkerite hulgimüüjad, kes tuntud kui Shadow Brokers aprillis.
WannaCry tarkvara, mida nimetatakse ka WannaCryptiks, mõjutas üle 230 000 arvutit, mis paiknesid enam kui 150 riigis üle kogu maailma. Lisaks NHS-ile pandi ka rünnakuks telefonika, Hispaania telefonifirma ja riiklikud raudteed Saksamaal.
Nagu WannaCry sarnaneb, levib "Petya" kiiresti üle kogu Microsoft Windowsi kasutavate võrkude. Kuid küsimus on aga see, mis see on? Samuti tahame teada, miks see juhtub ja kuidas seda saab peatada.
Mis on Ransomware?
Esimene asi, mida sa pead aru saama, on ransomaterjali määratlus. Põhimõtteliselt on ransomarker igasugune pahavara, mis töötab teie arvuti või andmete juurdepääsu blokeerimiseks. Kui proovite pääseda sellele arvutile või sellel olevatele andmetele, ei saa te selle juurde jõuda, kui te ei maksa lunaraha. Päris väga vastik ja otsekohene!
Kuidas Ransomware töötab?
Samuti on oluline mõista, kuidas ransomarat töötab. Kui arvuti on ransomäärtusega nakatunud, muutub see krüpteeritud. See tähendab, et teie arvutis olevad dokumendid lukustuvad ja te ei saa neid avada ilma lunaraha maksmata. Asjade veelgi keerukamaks muutmiseks tuleb lukustus maksta Bitcoinis, mitte raha, digitaalvõti, mida saate failide avamiseks kasutada. Kui teil pole oma failide varukoopiaid, on teil kaks valikut: võite tasuda lunaraha, mis on tavaliselt paar sada dollarit kuni mitme tuhande dollarini, või kaotate juurdepääsu kõikidele oma failidele.
Kuidas Petya Ransomware töötab?
"Petya" ransomare töötab nagu enamus ransomware. See võtab üle arvuti ja küsib siis $ 300 Bitcoin'ist. See on pahatahtlik tarkvara, mis levib võrgus või organisatsioonis kiiresti, kui üks arvuti on nakatunud. See konkreetne tarkvara kasutab EternalBlue haavatavust, mis kuulub Microsofti Windowsi. Kuigi Microsoft on nüüd haavatavuse jaoks plaastri välja andnud, pole kõik selle installinud. Ransomaterial on potentsiaalselt levitatud ka Windowsi haldusvahendite abil, mis on juurdepääsetav, kui arvutis pole parooli. Kui pahavara ei jõua ühel viisil, proovib see automaatselt teist, see on see, kuidas see on nende organisatsioonide hulgas nii kiiresti levinud.
Niisiis levib "Petya" küberjulgeoleku ekspertide sõnul palju lihtsam kui WannaCry.
Kas on mingit võimalust kaitsta end "Petjast"?
Olete ilmselt huvitatud sellest hetkest, kui on mingisugune viis kaitsta ennast "Petyast." Enamik peamistest viirusetõrjefirmadest on väitnud, et on ajakohastanud oma tarkvara, et mitte ainult avastada, vaid kaitsta "Petya" pahavara infektsiooni vastu. Näiteks pakub Symanteci tarkvara "Petya" kaitset ja Kaspersky on värskendanud kogu oma tarkvara, et aidata klientidel end kaitsta pahavara eest. Peale selle võite end kaitsta, hoides Windowsi uuendatud. Kui te ei tee midagi muud, installige vähemalt märtsis välja antud Windowsi kriitiline plaaster, mis kaitseb selle EternalBlue haavatavuse eest. See peatab ühe peamise nakatumisviisi ja kaitseb ka tulevaste rünnakute eest.
Samuti on saadaval "Petya" pahatahtliku puhangu jaoks veel üks kaitsetööstus, mida on hiljuti avastatud. Ründeprogramm kontrollib C: \ kettalt kirjutuskaitstud faili nimega perfc.dat. Kui pahavara leiab selle faili, ei käivita see krüptimist. Kuid isegi kui see fail on olemas, ei takista see tegelikult pahavara nakatumist. See võib siiski levitada pahavara teistele võrgus olevatele arvutitele isegi siis, kui kasutaja seda oma arvutis seda märgata ei tee.
Miks on see pahavara kutsutud "Petya?"
Võib küsida ka, miks seda pahavara nimetatakse "Petya "ks. Tegelikult ei ole seda tehniliselt kutsutud" Petya. "Selle asemel tundub, et see jagab palju koodi vana ransomäärtükiga, mille nimi oli" Petya ". Pärast esialgset puhangut kinnitasid turvatöötajad siiski, et need kaks ransomwares ei olnud nii sarnased kui esmakordselt arvati. Nii hakkasid Kaspersky Lab'i teadlased viitama pahavarale kui "NotPetya" (see on originaal!), Samuti muud nimed, sealhulgas "Petna" ja "Pneytna". Lisaks sellele nimetasid teised teadlased programmideks ka muid nimetusi, nagu "Goldeneye" Bitdefender, Rumeeniast, hakkas seda kutsuma. Kuid "Petya" oli juba kinni jäänud.
Kust "Petya" algas?
Kas te mõtlete, kust "Petya" algas? Tundub, et see on käivitanud ajakohastamise mehhanismi, mis pärineb mõnest raamatupidamisprogrammist ehitatud tarkvarast. Need ettevõtted töötasid Ukraina valitsusega ja valitsus nõudis selle konkreetse programmi kasutamist. Seepärast on see nii palju Ukraina ettevõtteid mõjutanud. Organisatsioonid hõlmavad panku, valitsust, metroo süsteemi Kiievi, suurt Kiievi lennujaama ja riigi elektriettevõtted.
Ransoomia mõjutas ka Tšernobõli kiiritust jälgivat süsteemi, mis lõpuks tehti võrguühenduseta. See sunnib töötajaid kasutama käeshoitavaid seadmeid kiirguse mõõtmiseks välistamistsoonis. Selle kõrval oli ka teine paar pahavara-nakkusi, mis tekkisid kampaania abil, mis sisaldas e-posti manuseid, mis olid pahavaraga täidetud.
Kui kaugele on "Petya" nakkust levinud?
"Petya" ransomäär on laialt levinud ning häirinud nii Ameerika Ühendriikide kui ka Euroopa ettevõtete tegevust. Näiteks mõjutavad ka WPP, Ameerika Ühendriikides reklaamibüroo Saint-Gobain, Prantsusmaal asuv ehitusmaterjalide ettevõte ning Venemaal asuvad nafta- ja terasetööstuse ettevõtted Rosneft ja Evraz. "Petya" pahavara on tabanud ka Pittsburghi ettevõte Heritage Valley Health Systems. See ettevõte töötab haiglates ja hooldusasutustes kogu Pittsburghi piirkonnas.
Kuid erinevalt WannaCry'ist püüab "Petya" pahavara levitada kiirelt läbi võrkude, millele ta pääseb, kuid ei ürita ennast levitada väljaspool võrku. Üksnes see asjaolu oleks võinud tegelikult aidata selle õelvara potentsiaalseid ohvreid, kuna see piiras selle levikut. Seega näib, et paljud uued nakkused on täheldatud.
Mis on küberkurjategijate motivatsioon, kes saadavad välja "Petja?"
Kui "Petya" algselt avastati, tundub, et pahavara puhang oli lihtsalt küberkuritegevuse katse, et ära kasutada lekkivaid online-küberrünnakuid. Kui turvatöötajad nägid Petya pahatahtliku puhangu osas veidi lähemalt, ütlevad nad, et mõned mehhanismid, näiteks makseviisi kogumine, on üsna amatöörlikud, mistõttu nad ei usu, et tõsised küberkurjategijad on selle taga.
Esiteks sisaldab "Petya" pahavara kaasnev lunaraha täpselt sama makseaadressi iga pahavara ohvri jaoks. See on kummaline, sest plusse luuakse iga ohvri jaoks kohandatud aadress. Teiseks palub programm oma ohvritel ründajaid otse suhelda konkreetse e-posti aadressiga, mis peatati kohe, kui avastati, et e-posti aadressi kasutati "Petya" ohvrite jaoks. See tähendab, et isegi kui inimene maksab 300-dollarilise lunaraha, ei suuda nad ründajatega suhelda ning pealegi ei saa nad arvuti või selle failide avamiseks kasutada dekodeerimisvõtit.
Kes on ründajad, siis?
Küberjulgeoleku eksperdid ei usu, et "Petya" pahavara taga on professionaalne küberkurjategija, nii et kes on? Keegi ei tea praegusel hetkel, kuid on tõenäoline, et see isik või need, kes selle vabastasid, soovisid, et pahavara näeks välja lihtsa ransomaterjali, kuid selle asemel on see palju rohkem hävitav kui tüüpiline ransomäär. Turvalisuse uurija Nicolas Weaver usub, et "Petya" on pahatahtlik, hävitav ja tahtlik rünnak. Teine teadlane, kes läheb Grugqi poolt, usub, et originaal "Petya" oli osa kuritegelikust organisatsioonist raha teenimiseks, kuid see "Petya" ei tee sama. Nad mõlemad nõustuvad, et pahavara oli mõeldud kiireks levikuks ja suureks kahju tekitamiseks.
Nagu me mainisime, "Petya" tabas Ukrainat üsna raske, ja riik on Venemaal sõrme viinud. See ei ole üllatav, arvestades, et Ukraina on ka süüdistanud Venemaad mitmete varasemate küberrünnakute eest. Üks nendest küberrünnakutest toimus 2015. aastal ja see oli suunatud Ukraina elektrivõrgule. Lõppkokkuvõttes lõppes ajutiselt lahkumata Lääne-Ukraina osad ilma igasuguste jõududeta. Venemaa on aga eitanud igasuguse osalemise Ukraina küberrünnakutes.
Mida peaksite tegema, kui usute, et olete Ransomware ohver?
Kas te arvate, et võite olla ransomare rünnaku ohver? See konkreetne rünnak nakatab arvutit ja ootab umbes tund aega enne, kui arvuti hakkab spontaanselt taaskäivitama. Kui see juhtub, proovige kohe arvuti välja lülitada. See võib takistada arvutis olevate failide krüptimist. Sel hetkel võite proovida eemaldada failid arvutist välja.
Kui arvuti lõpetab taaskäivitamise ja lunaraha ei ilmu, ärge seda maksma. Pidage meeles, et ohvritelt teabe kogumiseks kasutatav e-posti aadress ja võtme saatmine on suletud. Selle asemel eraldage arvuti Internetist ja võrgust, vormindage kõvaketas ja seejärel kasutage failide uuestiinstallimiseks varundamist. Veenduge, et alati varundate oma faile regulaarselt ja hoia oma viirusetõrjetarkvara alati oma värskenduses.