Ta napad je zaskrbljujoč, ker je v dveh mesecih drugi največji napad na ransomware, ki je prizadel podjetja po vsem svetu. Morda se spomnite, da je bila v maju nacionalna zdravstvena služba, NHS, v Veliki Britaniji okužena z zlonamerno programsko opremo, imenovano WannaCry. Ta program je vplival na NZS in številne druge organizacije po vsem svetu. WannaCry se je prvič razkrila javnosti, ko so objavili objavljene dokumente v zvezi z NHS, ki so jih na spletu izdali hekerji, znani kot Brokerji v senci aprila.
Programska oprema WannaCry, imenovana tudi WannaCrypt, je prizadela presežek 230.000 računalnikov, ki so bili locirani v več kot 150 državah po vsem svetu. Poleg NZS so napadli tudi telefonijo Telefonica, špansko telefonsko podjetje in državne železnice v Nemčiji.
Podobno kot WannaCry se "Petya" hitro širi po omrežjih, ki uporabljajo Microsoft Windows. Vprašanje pa je, kaj je to? Prav tako želimo vedeti, zakaj se to dogaja in kako ga je mogoče ustaviti.
Kaj je Ransomware?
Prva stvar, ki jo morate razumeti, je definicija ransomware . V bistvu je ransomware vsaka vrsta zlonamerne programske opreme, ki blokira vaš dostop do računalnika ali podatkov. Potem, ko poskusite dostopiti do tega računalnika ali podatkov na njem, ne morete priti do nje, če ne plačate odkupnine. Precej grdo, in ravno pomeni!
Kako deluje Ransomware?
Pomembno je tudi razumeti, kako deluje ransomware. Ko je računalnik okužen z ransomware, postane šifrirano. To pomeni, da so dokumenti na vašem računalniku zaklenjeni in jih ne morete odpreti brez plačila odkupnine. Da bi še bolj zapletli stvari, je treba odkupnino plačati v Bitcoinu, ne pa v denarju, za digitalni ključ, ki ga lahko uporabite za odklepanje datotek. Če nimate varnostne kopije svojih datotek, imate dve možnosti: plačate lahko odkupnino, ki je ponavadi nekaj sto dolarjev do nekaj tisoč dolarjev ali pa izgubite dostop do vseh datotek.
Kako deluje "Petya" Ransomware?
"Petya" ransomware deluje kot večina ransomware. Prevzame računalnik in nato zahteva 300 evrov v Bitcoinu. To je zlonamerna programska oprema, ki se hitro širi po omrežju ali organizaciji, ko je okužen en računalnik. Ta programska oprema uporablja ranljivost EternalBlue, ki je del Microsoft Windows. Čeprav je Microsoft izdal popravek za ranljivost, ga vsi niso namestili. Ransomware se lahko razširja tudi prek skrbniških orodij Windows, ki je dostopen, če v računalniku ni gesla. Če zlonamerna programska oprema ne more na en način, se samodejno poskuša drugače, kar se je tako hitro razširilo med temi organizacijami.
Tako se "Petya" razširi veliko lažje kot WannaCry, po mnenju strokovnjakov za kibernetsko varnost.
Ali obstaja način za zaščito pred "Petjo"?
Verjetno se sprašujete, če je na kakršenkoli način, da se zaščitite pred "Petya". Večina glavnih antivirusnih podjetij je trdila, da so posodobili svojo programsko opremo, da bi pripomogla k odkrivanju in zaščiti pred okužbo z zlonamerno programsko opremo "Petya". Programska oprema Symantec na primer ponuja zaščito pred "Petya", Kaspersky pa je posodobila vso svojo programsko opremo, da bi se strankam zaščitila pred zlonamerno programsko opremo. Poleg tega se lahko zaščitite tudi tako, da Windows posodobite. Če ne storite ničesar drugega, vsaj namestite kritični popravek, ki ga je Windows izdal marca, ki se brani pred to ranljivostjo EternalBlue. S tem se ustavi eden od glavnih načinov okužbe, prav tako pa se ščiti pred prihodnjimi napadi.
Na voljo je še ena obrambna linija za izbruh malwarea "Petya", ki je bila nedavno odkrita. Malware preveri pogon C: \ samo za branje, imenovano perfc.dat. Če zlonamerna programska oprema najde to datoteko, ne zažene šifriranja. Toda tudi če imate to datoteko, to dejansko ne preprečuje zlonamerne okužbe. Še vedno lahko širi zlonamerno programsko opremo na druge računalnike v omrežju, tudi če ga uporabniki ne opazijo na svojem računalniku.
Zakaj je ta zlonamerna programska oprema "Petya?"
Morda se sprašujete, zakaj se ta zlonamerna programska oprema imenuje »Petya«. Pravzaprav se tehnično ne imenuje »Petya«. Namesto tega se zdi, da ima veliko kodo s starim kosom ransomware, ki se imenuje »Petya«. po prvem izbruhu pa so varnostni strokovnjaki opozorili, da ta dva odkupna sredstva niso bila podobna, kot je bilo prvič mišljeno. Torej, raziskovalci v Kaspersky Labu so začeli omenjati zlonamerno programsko opremo kot "NotPetya" (to je originalna!), Pa tudi druga imena, vključno z "Petno" in "Pneytno". Poleg tega so drugi raziskovalci imenovali program tudi druga imena, vključno z "Goldeneye" Bitdefender iz Romunije je začel klicati. Vendar pa je "Petya" že obtičala.
Kje se je začela "Petya"?
Se sprašujete, kje se je začela Petya? Zdi se, da se je začelo z mehanizmom za posodobitev iz programske opreme, ki je vgrajena v določen računovodski program. Te družbe so sodelovale z ukrajinsko vlado in jih vlada zahtevala za uporabo tega posebnega programa. Zato je na to veliko vplivalo veliko podjetij v Ukrajini. Organizacije vključujejo banke, vlado, metro sistem Kijeva, glavnega letališča v Kijevu in državnih energetskih služb.
Sistem, ki spremlja raven sevanja v Černobilu, je vplival tudi ransomware in je bil končno brez povezave. To je prisililo zaposlene, da uporabljajo ročne ročne naprave za merjenje sevanja v izključitvenem območju. Poleg tega je bil drugi val zlonamernih okužb, ki jih je ustvarila oglaševalska akcija, ki je vsebovala e-poštne priloge, ki so bile napolnjene z zlonamerno programsko opremo.
Kako daleč je okužba "Petya" razširjena?
"Petya" ransomware se je razširil veliko in je motil poslovanje podjetij tako v ZDA kot tudi v Evropi. Na primer, vplivala sta tudi WPP, oglaševalsko podjetje v ZDA, družba Saint-Gobain, gradbeno-materialna družba v Franciji, in podjetja Rosneft in Evraz, naftna in jeklarska podjetja v Rusiji. Pittsburghovo podjetje, Heritage Valley Health Systems, je tudi prizadela malware "Petya". Ta družba vodi bolnišnice in negovalne ustanove na območju Pittsburgha.
Vendar se v nasprotju z WannaCry zlonamerno programsko opremo "Petya" poskuša hitro razširiti prek omrežij, do katerih dostopa, vendar se ne poskuša razširiti zunaj omrežja. Samo ta dejstvo je morda dejansko pomagalo potencialnim žrtvam te zlonamerne programske opreme, saj je omejevalo njegovo širjenje. Zdi se, da se je zmanjšalo število novih okužb.
Kaj je motivacija za cyber-kriminalce, ki pošiljajo "Petya?"
Ko je bila prvotno odkrita "Petya", se zdi, da je izbruh zlonamerne programske opreme preprosto poskus spletnega kriminala, da bi izkoristili uhajali spletno kibernetsko orožje. Kljub temu, ko so se varnostni delavci nekoliko bolj približali izbruhu zlonamerne programske opreme "Petya", pravijo, da so nekateri mehanizmi, kot je način plačila, precej amaterski, zato ne verjamejo, da za njim stojijo resni cybercriminals.
Prvič, opomba o odkupnini, ki prihaja z zlonamerno programsko opremo "Petya", vključuje natančno isti naslov za plačilo za vsako žrtev zlonamerne programske opreme. To je čudno, ker profesionalci ustvarijo naslov po meri za vsako svojo žrtev. Drugič, program zahteva, da žrtve neposredno komunicirajo z napadalci prek določenega e-poštnega naslova, ki je bil takoj prekinjen, ko je bilo ugotovljeno, da je bil uporabljen e-poštni naslov za žrtve "Petya". To pomeni, da tudi če oseba plača odkup v višini 300 evrov, ne morejo komunicirati z napadalci, poleg tega pa ne morejo dostopati do ključa za dešifriranje za odklepanje računalnika ali njegovih datotek.
Kdo so napadalci, potem?
Strokovnjaki za varnost računalništva ne verjamejo, da je za malwarea "Petya" poklicen računalniški kriminal, torej kdo je? Nihče na tej točki ne ve, vendar je verjetno, da je oseba ali osebe, ki so jo izdale, želela, da zlonamerna programska oprema izgleda kot preprosta ransomware, vendar je namesto tega veliko bolj uničujoča od tipične ransomware. Varnostni raziskovalec Nicolas Weaver meni, da je "Petya" zlonameren, uničujoč in nameren napad. Drugi raziskovalec, ki ga vodi Grugq, verjame, da je izvirna "Petya" del kriminalne organizacije za zaslužek, toda to "Petya" ne počne isto. Oba se strinjata, da je bila zlonamerna programska oprema namenjena hitro širjenju in povzroči veliko škode.
Kot smo omenili, je Ukrajino precej težko zadela "Petya", država pa je pokazala svoje prste v Rusiji. To ni presenetljivo glede na to, da je Ukrajina kriva Rusijo za številne pretekle cyberattake. Eden od teh kibernetskih napadov se je zgodil leta 2015 in je bil usmerjen v ukrajinsko elektroenergetsko omrežje. Na koncu je začasno zapustila dele zahodne Ukrajine brez kakršne koli moči. Rusija pa je zanikala kakršnokoli sodelovanje v kibernetskih napadih na Ukrajino.
Kaj naj storim, če verjamete, da ste žrtev Ransomware?
Misliš, da bi bil morda žrtev napadov ransomware? Ta poseben napad okuži računalnik in počaka približno eno uro, preden računalnik začne samodejno znova zagnati računalnik. Če se to zgodi, takoj izklopite računalnik. To lahko prepreči šifriranje datotek na računalniku. Takrat lahko poskusite odstraniti datoteke iz naprave.
Če računalnik zaključi ponovni zagon in se ne prikaže odkupnina, ga ne plačujte. Ne pozabite, da se e-poštni naslov, uporabljen za zbiranje informacij od žrtev in pošiljanje ključa, izklopi. Namesto tega prekinite povezavo z računalnika iz interneta in omrežja, preoblikujte trdi disk in nato uporabite varnostno kopijo za ponovno namestitev datotek. Prepričajte se, da redno varnostno kopirate datoteke in vedno posodobite protivirusno programsko opremo.