[Aktualizacja #5] Grzech zaniedbania – ransomware (nie)Petya atakuje publiczną infrastrukturę wielu krajów UE

Różne media donoszą, te techniczne oraz informacyjne, o ataku na publiczną infrastrukturę Ukrainy, Wielkiej Brytanii, Hiszpanii, Holandii, Szwecji… I kilku innych państw, w tym także wiele firm z Polski.

Szkodnik (nie)Petya (wg firmy Kaspersky Lab i nie tylko) rozprzestrzenia się najprawdopodobniej tą samą metodą, co ransomware WannaCry – poprzez lukę w protokole SMBv1 wskutek opublikowanych exploitów opracowanych przez NSA i w dodatku publicznie dostępnych na githubie. Jednak możliwe jest, że wykorzystano innego exploita do wtargnięcia do klienckich systemów Windows. Niektórzy piszą o luce CVE-2017-0199 (dotyczy pakietów MS Office), która wykorzystywana jest przez malware pobrane jako złośliwy załącznik lub wskutek botnetu, którego częścią jest zainfekowany komputer. Tak czy owak to dropper Lokibot odpowiedzialny jest za rozprzestrzenie ransomware Kora (bazuje na kodzie Petya, ale wbrew doniesieniom medialnym nim nie jest) - po zaszyfrowaniu infekuje następne komputery przez PsExec oraz Windows Management Instrumentation Command-line (WMIC).

Ransomware, które bardzo przypomina szkodnika Petya, szyfruje – tak samo jak WannaCry – wszystko to, co jest wystawione „na zewnątrz” (komputery, terminale, biletomaty...):


Komputery w sklepie.

O samym WannaCry było głośno całkiem niedawno – na szczęście opracowano dekryptor. W przypadku zagrożenia przypominającego Petya, sprawa jest bardziej skomplikowana.

Ataki już komentuje Kaspersky Lab:

Wstępne wyniki badania wskazują, że za atakami nie stoi odmiana szkodnika Petya, jak wynika z doniesień medialnych, a nowe oprogramowanie ransomware, z którym analitycy nie mieli do czynienia wcześniej. Na chwilę obecną dane telemetryczne Kaspersky Lab wskazują na około 2 000 atakowanych użytkowników. Najwięcej ataków odnotowano w Rosji i na Ukrainie, jednak pojawiły się także próby infekcji w Polsce, we Włoszech, w Niemczech i kilku innych krajach. Wektor ataku na chwilę obecną nie jest znany.

Badacze z Kaspersky Lab zalecają wszystkim firmom, by niezwłocznie uaktualniły użytkowane systemy Windows, skontrolowały, czy stosowane oprogramowanie antywirusowe jest aktualne i działa prawidłowo oraz wykonały kopię zapasową najważniejszych danych na wypadek infekcji oprogramowania ransomware.

My ze swojej strony polecamy zastosowanie się do tych samych wskazówek, co w kwestii WannaCry, czyli załatanie swoich systemów i zabezpieczenie ich przed możliwą infekcją renomowanym oprogramowaniem antywirusowym.

Tak się składa, że przeprowadziliśmy test na ochronę przed wirusami szyfrującymi, w którym wykorzystaliśmy kilkanaście różnych odmian ransomware, m.in. Petya, który szyfruje nie tylko pliki, ale także nadpisuje główny rekord ładujący Master Boot Record (MBR) udając przy okazji narzędzie CHKDSK i nadpisuje boot loader.

Do tej pory wykonano 20 transakcji za okup. Liczba ta będzie rosnąć, w dodatku mogą pojawić się inne adresy portfeli BTC.

Grzech zaniedbania daje o sobie znać. Po raz kolejny.

[Aktualizacja #2], 28.06.2017

Pewny sposób na zatrzymanie ransomware "NiePetya" (szkodnik korzysta z kodu ransomware Petya, ale nim nie jest) to utworzenie plików o nazwie: "perfc", "perfc.dat" i "perfc.dll" w lokalizacji "C:\Windows\" i ustawienie ich atrybutów "tylko do odczytu". Można się posłyżyć tym plikiem wykonywalnym, który zrobi to za Was (trzeba uruchomić z uprawnieniami administratora).

Poniższe pliki są wymagane do rozpoczęcia procedury szyfrowania – zawierają potrzebne instrukcje. Jeśli ich kod będzie nieczytelny dla wirusa (i nie zostaną nadpisane: dlatego ustawiamy je jako "tylko do odczytu"), szyfrowanie nie nastąpi.

C:\Windows\perfc

C:\Windows\perfc.dat

C:\Windows\perfc.dll

Liczba płacących okup zwiększyła się z 20 do 40.

[Aktualizacja #3], 28.06.2017

Badacze firmy ESET podają, od której iskry rozpoczął się samozapłon. Jes to oprogramowanie księgowe M.E.Doc wykorzystywane przez ukraińskie firmy i podmioty z nimi współpracujące, w tym instytucje finansowe. Program ten pobrał swoją aktualizację razem z trojanem. Umożliwiło to napastnikom auto-uruchomienie masowej kampanii z udziałem ransomware, która rozprzestrzeniła się na wiele krajów UE. Z prawdopodobnych scenariuszy bierze się pod uwagę fazę przed rozpoczęciem rozprzestrzeniania ransomware, a więc zhackowanie serwera przechowującego aktualizacje.

Ukraińska firma M.E.Doc opublikowała wczoraj wieczorem oświadczenie, które zostało już usunięte. Wygląda na to, że firma kwestionuje wcześniejsze zapowiedzi, że ich serwery rozpowszechniały szkodliwe oprogramowanie.  

[Aktualizacja #4], 28.06.2017

Jeśli ktoś z Was jest chętny płacić okup, nie róbcie tego. Konto "wowsmith123456@posteo.net" zostało zablokowane, co skutkuje niemożnością pozyskania klucza deszyfrującego. Ponadto pojawiają się już pierwsze analizy techniczne. Świetną robotę wykonał CERT Polska. Oto najważniejsze szczegóły:

  • Propagacja następuje na komputery z aktualnym systemem Windows w środowiskach domenowych.
  • Utworzenie pliku w lokalizacji C:\Windows\perfc blokuje wektor ataku poprzez WMIC.
  • Jeżeli po restarcie komputera pojawi się na ekranie fałszywe narzędzie CHKDSK warto niezwłocznie wyłączyć komputer – w tym momencie są szyfrowane pliki.
  • Ransomware targetował tylko lokalne dyski twarde – udziały sieciowe ani dyski wymienne nie były celem ataku (a przynajmniej analizowana próbka przez CERT Polska nie ujawniała takich akcji).
  • Ransomware szyfrował pliki z rozszerzeniami:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
  • W mechanizmie nadpisywania sektora rozruchowego MBR nie stwierdzono istotnych zmian od zeszłorocznej kampanii. Po infekcji czyszczone są logi systemowe (Setup, System, Security, Application).
  • Dodawane jest w Harmonogramie zadań polecenie do restartu komputera godzinę po infekcji.
  • Premier Beata Szydło powołała Rządowy Zespół Zarządzania Kryzysowego. Na razie debatują bez komputerów:

[Aktualizacja #5], 29.06.2017

Z posiedzenia Rządowego Zespołu Zarządzania Kryzysowego nic większego nie wynikło. Dowiedzieliśmy się tylko to, co było już znane:

Zalecenia mogą wydawać się oczywiste, ale mówimy o kwestiach niezwykle ważnych. Kwestia wykonywania kopii bezpiczeństwa, kwestia aktualizacji systemów, kwestia współpracy z CERT-ami, kwestia szkoleń pracowników - powiedział Mariusz Błaszczak, szef MSWiA.

W drugim dniu po ataku ransomware korzystającego z kodu Petya, wiemy o tym szkodniku znacznie więcej:

  • Jak wspomniano i wbrew różnym medialnym doniesieniom, szkodliwe oprogramowanie, o którym pisze cały świat, to nie ransom Petya, ale jego udana modyfikacja określana jako NotPetya, albo ExPetr.
  • Podstawowym celem tego cyberataku nie były pieniądze. Wskazują na to poszlaki:
    • Budowa ransom'u Not Petya zdradziła badaczom, że nie posiada ono identyfikatora stanowiącego o unikalności zainfekowanej stacji Windows. Innymi słowy, celem ransom'a NotPetya było niszczenie, a nie wymuszanie okupu (co i tak nie mogło zakończyć się powodzeniem, ponieważ adres konto e-mail atakującego został zablokowany przez giełdę BTC).
    • Niektóre źródła wskazują, że za NotPetya stało coś więcej, coś, co wymagało zatarcia śladów.
    • W większości ataków ransomware ich autorzy zakładają co najmniej kilka adresów BTC, na wypadek zablokowania jednego i ułatwiają ofiarom ewentualne wpłaty. Ransomware NotPetya wręcz to utrudniał.


Wygenerowany unikalny ID instalacji w oryginalnej wersji ransomware Petya zawiera kluczowe informacje o kluczowym deszyfrującym. Po przesłaniu tych informacji do napastnika możliwe jest wyodrębnienie klucza deszyfrującego za pomocą prywatnego klucza.


NotPetya generuje ID za pomocą funkcji CryptGenRandom. Dane zakodowane są w formacie BASE58, ale jeśli porównamy losowo wygenerowane dane dla obu wersji ransomware, to powinny one być takie same. Niestety nie są. NotPetya wyświetla tylko losowe, zwykłe ciągi znaków. Oznacza to, że osoba atakująca nie może wyodrębnić żadnych informacji potrzebnych do odszyfrowywania z losowo wygenerowanego łańcucha znaków na komputerze ofiary, w wyniku czego ofiara nie będzie mogła odszyfrować żadnego z zaszyfrowanych plików przy użyciu identyfikatora instalacji.




Podobne artykuły

Ransomware Petya powraca. Malware, które szyfruje sektor MBR uniemożliwiając dostępu do systemu...

Komentarze

Obrazek użytkownika Piotr N.

Kaspersky to niech raczej skomentuje, dlaczego przepuścił ataki w polskich firmach, które mial chronić...

Obrazek użytkownika Adrian Ścibor

#1 Faktycznie miał taki przypadek miejsce? Możliwe jest przesłanie nam dowodu z tego zdarzenia? (zdjęcie z komórki, screenshoot)

Obrazek użytkownika Piotr N.

Możliwe ale może skutkowac zwolnieniem z pracy. Proponuje kontakt z zaatakowanymi i zaoranymi firmami wymienionymi w kilku artykulach i komentarzach.

Obrazek użytkownika Piotr N.

Takiego dymu chyba jeszcze nie było. Ciekawe czy uda im się to zamiesc pod dywan.

Obrazek użytkownika Adrian Ścibor

#3 Nie jest wymagane zdjęcie całego biura, bo rozpoznanie byłoby klarowne, ale tej części monitora, na której widać oprogramowanie Kaspersky i podmienioną tapetę przez ransomware. Całą resztę możemy zatuszować, włącznie z metadanymi EXIF zdjęcia: https://avlab.pl/bezpieczenstwo-i-prywatnosc-w-10-dni-dzien-3-co-skrywaj...

Obrazek użytkownika Adrian Ścibor

#4 Dlatego poprosiłem o taki dowód, aby nie dało się tego zamieść. Prywatność gwarantowana.

Obrazek użytkownika jojo

A Pan Ścibor nie wie, że hołubiony na tym forum Kasperky ściśle współpracuje z FSB? Powoływanie się na "komentarz Kaspersky Lab" wygląda na kpinę.

Obrazek użytkownika Pk

Panie Scibor, to nie podmiana tapety....to info w stylu dosa przy próbie bootowania systemu.

Obrazek użytkownika Adrian Ścibor

Co ma komentarz przedstawicieli tej firmy do tego incydentu i rzekomej współpracy KLP Lab z rosyjskimi służbami? Czy jest to faktycznie Petya, czy modyfikacja Petji - dla klienta końcowego jest to jakaś różnica? Właściwie żadna. Istotny jest wektor ataku. KLP Lab już nie jeden raz udowodnił, że ich analizy bardzo wiele wnoszą do ustalenia szczegółów technicznych i tylko to jest w tym momencie najważniejsze. Po polityczne fakty odsyłam do innych portali. A jeśli masz jakieś dowody na to co napisałeś, podziel się, opracuj jakiś materiał. Opublikujemy pod Twoim nazwiskiem.

Obrazek użytkownika Adrian Ścibor

#8 Fakt, rozpędziłem się. Ale to porównanie do DoS-a jest nietrafione.

Obrazek użytkownika Piotr N.

Nie bądźmy naiwni. Już lepiej udawajmy idealistow, którzy widza swiat takim, jakim powinien on być, a nie takim jaki jest. Kaspersky wywodzi się z KGB (wystarczy rzut oka do wikipedii). Historia ZSRR i Rosji również jest (w pewnym zakresie oczywiście) znana. Dalej - program antywirusowy ma pełny dostęp do systemu. Ergo - zbierajac to wszystko do kupy, instalowanie w istotnych dla funkcjonowania i bezpieczeństwa kraju oprogramowania kontrolowanego z Rosji to strategiczne SZALENSTWO! Wracam do domu po zadymie z dzisiejszym atakiem. Jutro dalszy ciag.

Obrazek użytkownika jojo

Do Pana A.Ściobor. "Opublikujemy pod Twoim nazwiskiem". Jasne. A po publikacji tekstu autor pożegna się ze spokojem i z komputerem.
Pańska "pryncypialność" w zakresie udowadniania rzeczy oczywistych, godna jest podziwu. Kaspersky współpracuje z rosyjskimi służbami i ten FAKT dostatecznie dyskwalifikuje firmę zajmującą się bezpieczeństwem sieci. Tylko człowiek ignorujący FAKTY może takie zagrożenie nazywać kwestią polityczną.

https://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspers...

Obrazek użytkownika Adrian Ścibor

#12 Było już o tym: https://avlab.pl/amerykanski-tygodnik-oskarza-kasperskiego-o-wspolprace-...
Przedstawcie fakty inne niż te z bloomberga z wikipedii, która w takich kwestiach na pewno nie powinna być brana za rzetelne źródło, podobnie jak amerykański bloomberg. Wikipedia podaje tylko fakt niezbity, że kariera Jewgienija jest powiązana z KGB. Natomiast zarzuty portalu B odnoszą się do tego, że firma KLP Lab nie analizuje złośliwego oprogramowania używanego w kampaniach APT i do personalnych decyzji Jewgienija kierowania firmą. Pierwszy zarzut jest kompletną bzdurą. Odsyłam do podanego URL, gdzie są odnośniki kierujące do szczegółowych analiz zawierających malware rosyjskiego pochodzenia - szczegółowo zbadane i opisane przez KLP Lab. Drugi trudno udowodnić jednoznacznie.

Podobne zarzuty możemy przecież przypisać firmom z USA, których pracownicy lub założyciele są/byli powiązani z CIA. Przykładów nie trzeba daleko szukać. Wytykacie tylko jedną stronę w globalnej inwigilacji? Dlaczego? Z drugiej strony, nie wierzę, że po dziś dzień nikt wbrew zapisom EULA nie poddał oprogramowania firmy Kaspersky Lab wstecznej inżynierii i znajdując backdoory nie ujawnił (anonimowo) tego faktu opinii publicznej.

Obrazek użytkownika Piotr N.

Panie Adrianie. Nie ma Pan jeszcze dużego doświadczenia ale to przyjdzie z wiekiem i praktyką. Jest Pan inteligentny. Uda się Panu. Nie będzie jednak tak, ze ktoś napisze artykuł, Pan go sobie skopiuje, przerobi, podpisze się pod nim, wklei zdjęcie z shutterstocka i viola - jestę specjalistę. Oczywiście rozumiem, ze prowadzi Pan portal i musi Pan z czegoś żyć... tak przy okazji, to zręcznie Pan unika nazwy "Kaspersky" :) Cyberbezpieczenstwo jest jak góra lodowa - tylko trochę widać, reszta jest ukryta. Jak będą (jeśli będą) dowody, to będzie juz po ptokach. Pisze Pan o reversie - ok, jasne. Podam Panu najprostszy scenariusz, przedszkolny wręcz: słowo - klucz: "aktualizacja". Resztę niech Pan przemyśli sam.

Obrazek użytkownika Bartek83

Ja przeszedłem na Arcabit Home Security.
Dobre, polskie i ma też silnik Bitdefendera.

Drugi komputer to Mac mini, z Sophosem za free.

Obrazek użytkownika wwwandal

#13

"Eugene Kaspersky, szef i założyciel firmy Kaspersky Lab, powiedział w wywiedzie dla The Australian, że chce udostępnić rządowi USA kod źródłowy swojego pakietu antywirusowego. Oświadczenie ma związek z obawami wyrażanymi przez amerykańskich senatorów i przedstawicieli służb specjalnych. Uważają oni, że oprogramowanie Kaspersky Lab może zostać wykorzystane przez rząd w Moskwie do monitorowania amerykańskich sieci rządowych."

Obrazek użytkownika Piotr N.

#16 Powtórzę kolejny raz - nie bądźmy naiwni, bo Kaspersky się tylko smieje z naszej głupoty. Kazda aktualizacje sprawdza?

Obrazek użytkownika Mariusz

Rząd amerykański nie jest głupi. Amerykanie wyrzuca Kasperskiego i inne obce aplikacje chcby tylko po to, żeby mieć pewność, że nikt ich teraz lub w przyszłości nie w stanie tym kanałem zaatakować. Nasz rząd powinien zrobić to samo. Certyfikacja kodu to bzdura.

Obrazek użytkownika Kermit

#15 Też mam Arcabita i bardzo mi się spodobał, ale robiłem ostatnio testy i niestety wypadł dużo gorzej niż np. Eset bądź właśnie Kasperski. Przepuszcza o wiele więcej szkodliwych linków jak i programów z nich do pobrania. Nie mówiąc już o phishingu. Co do ransomware pozwolił na uruchomienie pliku .exe z Cerber Ransomware i doszło do zaszyfrowania plików. Eset i Kasper na to nie pozwoliły. Mimo to dalej będę kibicował pakietowi Arcabit i robił z nim testy. Czekam jeszcze na nowy(odrodzony) projekt MKS_Vir bo chyba miał być już gotowy na późną wiosne ale widocznie coś się opóźniło .

Obrazek użytkownika Adrian Ścibor

#19 Arcabit nigdy nie grzeszył pojemną bazą danych złośliwych stron WWW. A co do zaszyfrowania plików - to jest całkiem możliwe. Szkoda, że już nie wspomniałeś, że pliki w odróżnieniu od Eseta i Kaspersky da się odszyfrować za pomocą SafeStorage. Tu na wideo pokazujemy jak to zrobić: https://avlab.pl/aktualizacja-3-podpowiadamy-jak-zabezpieczyc-komputery-... Dlatego zawsze to powtarzam: mając na pokładzie tylko Arcabit, żadna organizacja nie musi się martwić zaszyfrowanymi plikami. W dodatku, mówiąc o NiePetya ransomware, który szyfruje tablice MFT, Arcabit i przed tych chroni. Inaczej mówiąc, nie dopuści do zrestartowania komputera i nadpisania bootloadera. Takie obrazki jak w artykule na zdjęciu w sklepie nie będą mieć miejsca.

Obrazek użytkownika Piotr N.

#20 Ja tez mam Arcabita. Bardzo dobry program. Dużo dobrego się z nim dzieje, co pokazuje miedzy innymi świetny test drive-by download. Dawno nie widziałem tak ciekawego testu i powiazanego z nim artykułu. Kaspersky tez jest dobry, to oczywiste. Ale właśnie, paradoksalnie dlatego stanowi potencjalne ale bardzo realne zagrożenie dla cyberbezpieczenstwa państwa, o czym trafnie zaalarmowal rząd USA.

Obrazek użytkownika Kermit

#20 Tak masz racje nie wspomniałem poniekąd specjalnie gdyż jest to już opcja (po) fakcie, a bardziej się skupiłem na prewencji.(która w wielu wypadkach jest potrzebna) i oszczędza np. czas. Bo jak już taki ransom zaatakuje to wypadałoby też postawić system na nowo a przynajmniej ja tak sądzę.
Ale jak pisałem wcześniej bardzo mi spasował nasz rodzimy pakiet bo ma swoje mocne strony.
A czy masz może jakieś micro przecieki kiedy możemy się spodziewać MKS _Vir?

Obrazek użytkownika Adrian Ścibor

#22 Z tą prewencją to jest tak, że przeważnie jest, ale jak przyjdzie co do czego, w takich kryzysowych sytuacjach jak ta, to nie działa lub znajdzie się jakiś sposób, żeby ją ominąć. Arcabit nie ma takiego problemu.

Cytuję z przeprowadzonego wywiadu: https://avlab.pl/dobry-polski-antywirus-rozmowa-z-grzegorzem-michalkiem-...

"Druga grupa projektowa obejmuje zagadnienia związane z – powiedzmy – “nieszablonowym” podejściem do wykrywania szkodliwego oprogramowania i zapobiegania utracie danych użytkowników. Mam tu na myśli takie rozwiązania jak SafeStorage (o którym porozmawiamy jeszcze za chwilę), wykrywanie i blokowanie szkodliwego działania aplikacji nie oparte na sygnaturach i sumach kontrolnych, wysokopoziomowe wykrywanie szkodliwych aplikacji w poczcie elektronicznej i na stronach WWW. Są to mechanizmy, które z powodzeniem uzupełniają klasyczną detekcję, a niejednokrotnie również ją wyprzedzają w skuteczności. To jest dla nas bardzo ważny kierunek rozwoju – aktualnie traktujemy go jako potencjalnie dominujący mechanizm ochronny w przyszłości."

O SafeStorage polecamy lekturę osobną: https://avlab.pl/antywirus-arcabit-chroni-teraz-zasoby-sieciowe-przed-at...

W kwestii MKS, mikro przecieki są takie, że wkrótce będzie wersja publiczna do testów. Na pewno o tym poinformujemy :)

Obrazek użytkownika Kermit

#23 Cieszy mnie to, że Arcabit ma i ową prewencję na uwadze bo osobiście tylko do tego mam małe zastrzeżenia, reszta to tak jak napisałeś oraz wasze testy to pokazują - jest dobrze.
Na to też liczę i czekam :)

Obrazek użytkownika Damian

Głupie komentarze o agenturach rosyjskich i amerykańskich nic nie wnoszą do dyskusji o atakach. Byłoby dobrze poznać kto za tymi atakami stoi, a przynajmniej z jakiego kraju dokonano ataku na ukraińską firmę od której bodajże zaczęło się wszystko. To pokazuje jak słabe są zabezpieczenia firm i polskich i zagranicznych.

Obrazek użytkownika Szalony Tadeusz

Korzystam z programu AVG Internet Security i kilka dni temu, dostał on nową aktualizację o numerze 17.5.3021, w której dodano nowy moduł o nazwie: "Ochrona przed programami typu ransomware". Moduł ten pozwala na dodanie tam dowolnych folderów z danymi , które według producenta mają być chronione przed modyfikacjami i usuwaniem znajdujących się tam plików przez programy typu ransomware.
Może Pan Adrian przeprowadzi testy, jak sprawuje się ten nowy moduł i jaka jest jego faktyczna skuteczność ?. Czy działa on na zasadzie, że nie pozwala "dostać" się programom ransomware do tych danych, czy może w razie ataku i zaszyfrowania ich, pozwala je odzyskać ?
Pozdrawiam :)

Obrazek użytkownika Kermit

#26 Padł całkiem fajny temat co do skuteczności takiej ochrony przed ransomware ;) Dobry testy by był!

Obrazek użytkownika Adrian Ścibor

#26 #27
Tadeusz, nie szalej. Opcja, którą wprowadziła firma AVG... Wróć, firma Avast (tak w zasadzie: https://avlab.pl/aktualizacja-2-avast-realizuje-dlugofalowy-plan-calkowi... oraz to: https://avlab.pl/nowe-antywirusy-avg-z-silnikami-od-firmy-avast), jest domyślnie włączona, ale chroni tylko dokumenty w katalogach użytkownika na C:\users\nazwa_uzytkownika\obrazy, dokumenty, itp. Cała reszta jest niezabezpieczona tym mechanizmem. Wielu producentów ma coś podobnego, ale AVG spóźnił się z tym o kilka lat.

Działa to w ten sposób, że AVG dopuszcza do modyfikowania te pliki jedynie przez zaufane procesy np. word.exe i to też jest całkiem niezła strategia. Natomiast dostrzegam słaby punkt w takim rozwiązaniu - można zastosować ostatniego exploita na MS Word i spróbować w ten sposób zmienić pliki, które zostałyby zaszyfrowane w sposób tradycyjny, ale przez proces word.exe.

Pomysł na testy ciekawy. Taki większy test na ochronę przed ransomware przewiduję na końcówkę tego roku. Wymaga to kilku tygodni pracy, przemyślenia wielu kwestii, więc na specjalne życzenie jednego użytkownika nie zabiorę się za to. Ale w niedalekiej przyszłości, kto wie. Temat ciekawy i zapisuję "na potem."

W każdym razie możesz śmiało z tego korzystać. Jednak problem z opisywanym tutaj Petya lub NiePetya ransomware jest taki, że pliki są szyfrowane po zrestartowaniu komputera na skutek uszkodzenia tablicy MFT systemu plików. AVG tu nie pomoże. Inaczej mówiąc, jeśli wirus szyfrujący będzie niewykrywalny dla skanera antywirusowego, to takie lub podobne mechanizmy wprowadzone ostatnio przez AVG nie pomogą, ponieważ dochodzi do zmodyfikowania $MFT przechowującego dane na temat tablicy plików i wszystkich plików w systemie. Po zrestartowaniu system jest uszkodzony i rozpoczyna się szyfrowanie plików z podmienioną "informacją startową" podczas uruchamiania Windows.

Obrazek użytkownika niemojewski

Kolejny wpis o tym, że Kaspersky może być aplikcją szpiegowską:

Kaspersky może dostać zakaz w USA:

http://www.chip.pl/news/bezpieczenstwo/antywirusy-antispyware-i-firewall...

Obrazek użytkownika Zibi

Panie Adrianie.
Mam pytanie natury technicznej wirusów.Jak długo taki wirus ''żyje'' w sieci i w jaki sposób ''umiera'' ? Wyłączają go jakoś hakerzy, ma jakiś czas życia, czy może jakąś ilość zainfekowań ? Zazwyczaj jest alarm ,że zaatakował, natomiast nie ma zadnego infa , że juz skonał, zniknął...Po prostu , kiedy wiadomo,że już go nie ma.

Obrazek użytkownika Adrian Ścibor

#30 W tym przypadku nie ma czegoś takiego jak czas życia malware, o ile wirus nie zostanie w taki sposób zaprogramowany, aby usuwać się po wykonaniu określonego zadania. Istnieją takie szkodniki, ale nie ten. I zazwyczaj przypadek, o którym piszesz, jest bardzo rzadki i stosowany w kierunkowych atakach APT.

W tym ataku NotPetya został wykorzystany raz na jeden cel lub więcej celów i nie wiadomo jak długo potrwa, zanim całkowicie to błędne koło zostanie zatrzymane. Ransom NotPetya nie zdoła przeskoczyć na inne komputery, jeśli będą odpowiednio zabezpieczone (muszą posiadać aktualizacje z biuletynu MS17-010 + oprogramowanie zabezpieczające, ograniczony dostęp do plików w udostępnionych folderach w sieci, działać na kontach z uprawnieniami zwykłego użytkownika). Dopiero w taki sposób NotPetya nie zdoła przeskoczyć z kompa na komp. W sieci może być wiele komputerów, więc trzeba je zabezpieczyć wszystkie.

Co więcej, NotPetya kradnie poświadczenia logowania. Użytkownicy często logują się przy użyciu kont z uprawnieniami administratora lokalnego. Ransomware skanuje sieć lokalną w celu ustanowienia prawidłowych połączeń na portach tcp/139 i tcp/445 - dla każdej podsieci gromadzi wszystkie hosty. Jeśli otrzyma odpowiedź, że host istnieje, szkodnik próbuje skopiować plik binarny za pomocą zwykłych funkcji transferu plików w Windows. Następnie próbuje zdalnie wykonać szyfrowanie na innej maszynie za pomocą narzędzi PSEXEC lub WMIC.

NotPetya może również rozprzestrzeniać się za pomocą luki w zabezpieczeniach protokołu SMB (CVE-2017-0144), a więc tak samo jak inny ransomware WannaCry. Wszystko przez to, że grupa Shadow Broker weszła jakimś sposobem w posiadanie explitów od NSA i udostępniła je publicznie. Pomimo wydania aktualizacji przez MS, szanse powodzenia ataku są nadal bardzo duże.

Nie ma co czekać na "koniec życia" tego malware. Z pewnością przyjdą kolejne, więc lepiej w porę jest się zabezpieczyć.

Dodaj komentarz