V posledných dňoch napadol Európu nový ransomvér s názvom Petya. Ohniskom jeho šírenia sa stala susedná Ukrajina, no útoky sa postupne rozšírili aj do ďalších európskych krajín.
Ransomvér Petya pritom nie je pre bezpečnostných odborníkov novinkou. Viaceré organizácie o jeho výskyte informovali odbornú verejnosť ešte v marci minulého roku. Škodlivý kód napáda najmä firemné IT architektúry, ale aj počítače koncových používateľov, ktoré používajú operačný systém Windows. Jeho princíp šírenia je podobný ako v prípade ransomvéru WannaCry.
Vírus s označením RANSOM_PETYA.SMA (Win32/Diskcoder.C) používa exploit EternalBlue a nástroj PsExec ako infekčné vektory. Jeho cieľom sú systémy Master Boot Record (MBR), ktorých infikovaním a zašifrovaním zablokuje používateľom prístup k ich zariadeniam a zobrazí tzv. BSoD (modrú obrazovku smrti). Na obrazovke je okrem iného zobrazená aj informácia o výkupnom. Ako inak, autori ransomvéru žiadajú vyplatenie výkupného za zašifrované dáta vo virtuálnej pseudoanonymnej mene BitCoin v hodnote $300.
Ako prebieha napadnutie ransomvérom Petya?
Škodlivý kód Petya si do počítačov a IT infraštruktúr spoločností nachádza cestu pomocou nástroja PsExec, čo je oficiálny nástroj spoločnosti Microsoft určený na spustenie procesov na vzdialenom počítači.
Keď sa vírus dostane do systému, napadne Server Message Block (SMB) v1 pomocou spustenia cez príkaz rundll32.exe. Šifrovanie infikovaných dát následne prebieha pomocou súboru perfc.dat. Je dôležité poznamenať, že ransomvér šifruje najmä dokumenty, tabuľky a databázové súbory. Nezameriava sa na obrázky a video ako iné škodlivé kódy tohto typu. Ukončením celého procesu je reštartovanie počítača, ktorého opätovné spustenie zobrazí už len BSoD obrazovku s informáciami o infikovaní a výkupnom.
Viaceré spoločnosti venujúce sa IT bezpečnosti neodporúčajú platiť výkupné, ktoré žiadajú autori tohto ransomvéru. E-mailová adresa, na ktorú má byť zaslané výkupné v BitCoinoch, už bola medzičasom aj zablokovaná.
Ako sa chrániť pred týmto typom útoku?
Ochrana pred týmito typmi útokov je pomerne jednoduchá, no je potrebné dodržať niekoľko jednoduchých krokov:
- Pravidelne si aktualizujte svoj počítač a všetky IT systémy, s ktorými prichádzate v práci do styku.
- Zvážte obmedzenie, prípadne vyššie zabezpečenie systémov na vzdialenú správu počítačov (napr. PsExec, PowerShell a iné).
- Pravidelne si zálohujte svoje dáta na počítač alebo disk, ktoré nie sú napojené na hlavnú sieť spoločnosti.
- Zvážte použitie systémov pre detekciu a prevenciu útokov v sieti, ktoré dokážu objaviť šifrovanie dát, či iné škodlivé aktivity v sieti a na vašich zariadeniach.
- Obmedzte privilégiá koncových používateľských staníc a proaktívne monitorujte ich aktivity.
- Neotvárajte podozrivé odkazy, ktoré prijmete vo svojej e-mailovej schránke alebo na sociálnych sieťach.
- Zakážte komunikáciu na sieťových portoch, ktoré nepoužívate.
Ochranu pred takýmito typmi útokov vám zabezpečí aj pravidelné testovanie vašej bezpečnosti a jej nedostatkov. Ideálnou formou pravidelného testovania bezpečnosti sú bug bounty programy, ktoré dnes využívajú firmy po celom svete. Prečítajte si viac o slovenskom bug bounty programe Hacktrophy.
Zdroje: ESET, Trend Micro