Różne media donoszą, te techniczne oraz informacyjne, o ataku na publiczną infrastrukturę Ukrainy, Wielkiej Brytanii, Hiszpanii, Holandii, Szwecji… I kilku innych państw, w tym także wiele firm z Polski.
Szkodnik (nie)Petya (wg firmy Kaspersky Lab i nie tylko) rozprzestrzenia się najprawdopodobniej tą samą metodą, co ransomware WannaCry – poprzez lukę w protokole SMBv1 wskutek opublikowanych exploitów opracowanych przez NSA i w dodatku publicznie dostępnych na githubie. Jednak możliwe jest, że wykorzystano innego exploita do wtargnięcia do klienckich systemów Windows. Niektórzy piszą o luce CVE-2017-0199 (dotyczy pakietów MS Office), która wykorzystywana jest przez malware pobrane jako złośliwy załącznik lub wskutek botnetu, którego częścią jest zainfekowany komputer. Tak czy owak to dropper Lokibot odpowiedzialny jest za rozprzestrzenie ransomware Kora (bazuje na kodzie Petya, ale wbrew doniesieniom medialnym nim nie jest) – po zaszyfrowaniu infekuje następne komputery przez PsExec oraz Windows Management Instrumentation Command-line (WMIC).
Ransomware, które bardzo przypomina szkodnika Petya, szyfruje – tak samo jak WannaCry – wszystko to, co jest wystawione „na zewnątrz” (komputery, terminale, biletomaty…):
O samym WannaCry było głośno całkiem niedawno – na szczęście opracowano dekryptor. W przypadku zagrożenia przypominającego Petya, sprawa jest bardziej skomplikowana.
Ataki już komentuje Kaspersky Lab:
Wstępne wyniki badania wskazują, że za atakami nie stoi odmiana szkodnika Petya, jak wynika z doniesień medialnych, a nowe oprogramowanie ransomware, z którym analitycy nie mieli do czynienia wcześniej. Na chwilę obecną dane telemetryczne Kaspersky Lab wskazują na około 2 000 atakowanych użytkowników. Najwięcej ataków odnotowano w Rosji i na Ukrainie, jednak pojawiły się także próby infekcji w Polsce, we Włoszech, w Niemczech i kilku innych krajach. Wektor ataku na chwilę obecną nie jest znany.
Badacze z Kaspersky Lab zalecają wszystkim firmom, by niezwłocznie uaktualniły użytkowane systemy Windows, skontrolowały, czy stosowane oprogramowanie antywirusowe jest aktualne i działa prawidłowo oraz wykonały kopię zapasową najważniejszych danych na wypadek infekcji oprogramowania ransomware.
My ze swojej strony polecamy zastosowanie się do tych samych wskazówek, co w kwestii WannaCry, czyli załatanie swoich systemów i zabezpieczenie ich przed możliwą infekcją renomowanym oprogramowaniem antywirusowym.
Tak się składa, że przeprowadziliśmy test na ochronę przed wirusami szyfrującymi, w którym wykorzystaliśmy kilkanaście różnych odmian ransomware, m.in. Petya, który szyfruje nie tylko pliki, ale także nadpisuje główny rekord ładujący Master Boot Record (MBR) udając przy okazji narzędzie CHKDSK i nadpisuje boot loader.
Do tej pory wykonano 20 transakcji za okup. Liczba ta będzie rosnąć, w dodatku mogą pojawić się inne adresy portfeli BTC.
Grzech zaniedbania daje o sobie znać. Po raz kolejny.
[Aktualizacja #2], 28.06.2017
Pewny sposób na zatrzymanie ransomware „NiePetya” (szkodnik korzysta z kodu ransomware Petya, ale nim nie jest) to utworzenie plików o nazwie: „perfc”, „perfc.dat” i „perfc.dll” w lokalizacji „C:Windows” i ustawienie ich atrybutów „tylko do odczytu”. Można się posłyżyć tym plikiem wykonywalnym, który zrobi to za Was (trzeba uruchomić z uprawnieniami administratora).
Poniższe pliki są wymagane do rozpoczęcia procedury szyfrowania – zawierają potrzebne instrukcje. Jeśli ich kod będzie nieczytelny dla wirusa (i nie zostaną nadpisane: dlatego ustawiamy je jako „tylko do odczytu”), szyfrowanie nie nastąpi.
C:Windowsperfc C:Windowsperfc.dat C:Windowsperfc.dll
Liczba płacących okup zwiększyła się z 20 do 40.
[Aktualizacja #3], 28.06.2017
Badacze firmy ESET podają, od której iskry rozpoczął się samozapłon. Jes to oprogramowanie księgowe M.E.Doc wykorzystywane przez ukraińskie firmy i podmioty z nimi współpracujące, w tym instytucje finansowe. Program ten pobrał swoją aktualizację razem z trojanem. Umożliwiło to napastnikom auto-uruchomienie masowej kampanii z udziałem ransomware, która rozprzestrzeniła się na wiele krajów UE. Z prawdopodobnych scenariuszy bierze się pod uwagę fazę przed rozpoczęciem rozprzestrzeniania ransomware, a więc zhackowanie serwera przechowującego aktualizacje.
Ukraińska firma M.E.Doc opublikowała wczoraj wieczorem oświadczenie, które zostało już usunięte. Wygląda na to, że firma kwestionuje wcześniejsze zapowiedzi, że ich serwery rozpowszechniały szkodliwe oprogramowanie.
[Aktualizacja #4], 28.06.2017
Jeśli ktoś z Was jest chętny płacić okup, nie róbcie tego. Konto „[email protected]” zostało zablokowane, co skutkuje niemożnością pozyskania klucza deszyfrującego. Ponadto pojawiają się już pierwsze analizy techniczne. Świetną robotę wykonał CERT Polska. Oto najważniejsze szczegóły:
- Propagacja następuje na komputery z aktualnym systemem Windows w środowiskach domenowych.
- Utworzenie pliku w lokalizacji C:Windowsperfc blokuje wektor ataku poprzez WMIC.
- Jeżeli po restarcie komputera pojawi się na ekranie fałszywe narzędzie CHKDSK warto niezwłocznie wyłączyć komputer – w tym momencie są szyfrowane pliki.
- Ransomware targetował tylko lokalne dyski twarde – udziały sieciowe ani dyski wymienne nie były celem ataku (a przynajmniej analizowana próbka przez CERT Polska nie ujawniała takich akcji).
- Ransomware szyfrował pliki z rozszerzeniami:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
- W mechanizmie nadpisywania sektora rozruchowego MBR nie stwierdzono istotnych zmian od zeszłorocznej kampanii. Po infekcji czyszczone są logi systemowe (Setup, System, Security, Application).
- Dodawane jest w Harmonogramie zadań polecenie do restartu komputera godzinę po infekcji.
- Premier Beata Szydło powołała Rządowy Zespół Zarządzania Kryzysowego. Na razie debatują bez komputerów:
[Aktualizacja #5], 29.06.2017
Z posiedzenia Rządowego Zespołu Zarządzania Kryzysowego nic większego nie wynikło. Dowiedzieliśmy się tylko to, co było już znane:
Zalecenia mogą wydawać się oczywiste, ale mówimy o kwestiach niezwykle ważnych. Kwestia wykonywania kopii bezpiczeństwa, kwestia aktualizacji systemów, kwestia współpracy z CERT-ami, kwestia szkoleń pracowników – powiedział Mariusz Błaszczak, szef MSWiA.
W drugim dniu po ataku ransomware korzystającego z kodu Petya, wiemy o tym szkodniku znacznie więcej:
- Jak wspomniano i wbrew różnym medialnym doniesieniom, szkodliwe oprogramowanie, o którym pisze cały świat, to nie ransom Petya, ale jego udana modyfikacja określana jako NotPetya, albo ExPetr.
- Podstawowym celem tego cyberataku nie były pieniądze. Wskazują na to poszlaki:
- Budowa ransom’u Not Petya zdradziła badaczom, że nie posiada ono identyfikatora stanowiącego o unikalności zainfekowanej stacji Windows. Innymi słowy, celem ransom’a NotPetya było niszczenie, a nie wymuszanie okupu (co i tak nie mogło zakończyć się powodzeniem, ponieważ adres konto e-mail atakującego został zablokowany przez giełdę BTC).
- Niektóre źródła wskazują, że za NotPetya stało coś więcej, coś, co wymagało zatarcia śladów.
- W większości ataków ransomware ich autorzy zakładają co najmniej kilka adresów BTC, na wypadek zablokowania jednego i ułatwiają ofiarom ewentualne wpłaty. Ransomware NotPetya wręcz to utrudniał.
