Ez a támadás aggasztó, mert ez a második legnagyobb felszabadító támadás két hónap alatt, ami a világ minden tájáról érinti a cégeket. Lehet, hogy emlékszel arra, hogy májusban az NHS-t Nagy-Britanniában a WannaCry nevű malware fertőzte meg. Ez a program az NHS-t és számos más szervezetet érintette az egész világon. A WannaCry-t először nyilvánosságra hozták, amikor az NHS-hez kapcsolódó szivárgott dokumentumokat áprilisban az Shadow Brokers néven hirdették.
A WannaCry szoftver, más néven WannaCrypt, több mint 230 000 számítógépet érintett, amelyek több mint 150 országban találhatók szerte a világon. Az NHS mellett a német Telefonica nevű spanyol telefontársaságot és az állami vasutakat is megtámadták.
A WannaCryhez hasonlóan a "Petya" gyorsan terjed a Microsoft Windows-ot használó hálózatokban. A kérdés azonban az, hogy mi az? Azt is szeretnénk tudni, hogy miért történik, és hogyan lehet megállítani.
Mi a Ransomware?
Az első dolog, amit meg kell értened, a felszabadító szoftver definíciója. Alapvetően az iranmentum minden típusú rosszindulatú program, amely megakadályozza a számítógéphez vagy adatokhoz való hozzáférést. Ezután, ha megpróbálja elérni azt a számítógépet vagy az adatokat rá, akkor nem juthat hozzá, hacsak nem fizetsz váltságdíjat. Rendkívül csúnya, és egyenesen azt jelenti!
Hogyan működik a Ransomware?
Fontos megérteni, hogyan működik az iranómia. Ha a számítógépet a felszabadító szoftver fertőzte meg, titkosítva lett. Ez azt jelenti, hogy a számítógépen lévő dokumentumok zárolásra kerülnek, és nem nyithatják meg őket váltságdíjak kifizetése nélkül. A további bonyolítás érdekében a váltás díját Bitcoinnal kell fizetni, nem pedig készpénzben, olyan digitális kulcsért, amelyet fel lehet oldani a fájlok feloldásához. Ha nincs biztonsági másolata a fájlokról, akkor két lehetősége van: fizethet a váltságdíjat, amely általában több száz dollárról több ezer dollárra szól, vagy ha elveszíted az összes fájljához való hozzáférést.
Hogyan működik a "Petya" Ransomware?
A "Petya" ransomware a legtöbb felmentőprogrammal működik. Átveszi a számítógépet, majd 300 dollárt kér a Bitcoinban. Ez egy rosszindulatú szoftver, amely gyorsan terjed egy hálózaton vagy szervezeten, miután egyetlen számítógépet fertőzött meg. Ez a szoftver az EternalBlue biztonsági rést használja, amely a Microsoft Windows része. Bár a Microsoft most kiadott egy javítást a biztonsági rés miatt, nem mindenki telepítette. A feltörő programot a Windows adminisztrációs eszközei is elterjedhetik, ami elérhető, ha nincs jelszó a számítógépen. Ha a rosszindulatú program egyáltalán nem érhető el, akkor automatikusan megpróbál egy másikat, így gyorsan terjedt el ezek a szervezetek.
Így a "Petya" sokkal könnyebb, mint a WannaCry, a cyber-biztonsági szakértők szerint.
Van valami mód arra, hogy megvédje magát a "Petya" -tól?
Valószínűleg ezen a ponton kíváncsi, hogy van-e módja annak, hogy megvédje magát a "Petya" -tól. A legtöbb víruskereső cég azt állította, hogy frissítették a szoftverüket, hogy segítsenek nem csak észlelni, hanem védeni a "Petya" malware fertőzést. Például a Symantec szoftver védelmet nyújt a "Petya" -tól, és a Kaspersky minden szoftverét frissítette, hogy segítsen az ügyfeleknek megvédeni magukat a rosszindulatú programoktól. Ezen felül megvédheti magát a Windows frissítésével. Ha nem tesz semmit, legalább telepítse a kritikus javítást, amelyet a Windows márciusban kiadott, ami védi ezt az EternalBlue biztonsági rést. Ez megakadályozza a fertőzöttség egyik legfontosabb módját, és védelmet nyújt a jövőbeli támadások ellen.
Egy másik védelmi vonal a "Petya" malware kitöréshez is elérhető, és csak a közelmúltban fedezték fel. A rosszindulatú program ellenőrzi a C: \ meghajtót egy csak olvasható fájlnak, az úgynevezett perfc.dat fájlnak. Ha a kártevő megtalálja ezt a fájlt, akkor nem futtatja a titkosítást. Azonban még ha ez a fájl is megtörténik, valójában nem akadályozza meg a rosszindulatú programok fertőzését. A rosszindulatú programot még akkor is el tudja terjeszteni, ha a felhasználó a számítógépén nem észleli azt.
Miért hívják ezt a rosszindulatú programot "Petya" -nak?
Talán arra is kíváncsi, hogy miért nevezik ezt a rosszindulatú programot "Petya" -nak. Valójában nem technikailag "Petya" -nak nevezik. Ehelyett úgy tűnik, hogy sok kódot oszt meg egy régi feliratokkal, amelyet "Petya" -nak hívtak. A kezdeti kitörést követően azonban a biztonsági szakértők megjegyezték, hogy ez a két díjszabás nem volt olyan hasonló, mint amilyet először gondoltak. Tehát a Kaspersky Lab kutatói a rosszindulatú programokat "NotPetya" -ként (eredeti!), Valamint más nevekkel, köztük a "Petna" -al és a "Pneytnával" kapcsolatban kezdték. Emellett más kutatók is nevezték a program nevét, beleértve a "Goldeneye" -t is A romániai Bitdefender elkezdte hívni. Azonban "Petya" már elakadt.
Hol kezdődött a "Petya"?
Arra kíváncsi, hogy mikor kezdődött a "Petya"? Úgy tűnik, hogy egy olyan frissítési mechanizmuson keresztül kezdődött, amely egy bizonyos számviteli programba épült. Ezek a cégek együttműködtek az ukrán kormánynál, és a kormány ezt az adott programot igényelte. Ezért érinti az ukrán sok társaságot. A szervezetek közé tartozik a bank, a kormány, a kijevi metrórendszer, a fő kijevi repülőtér és az állami hatalom.
A Chernobylban a sugárzás szintjének megfigyelésére szolgáló rendszert szintén befolyásolta a felszabadító szoftver, és végül is offline lett. Ez arra kényszerítette a munkavállalókat, hogy kézi kézi eszközöket használjanak a sugárzás mérésére a kizárási zónában. Ezen felül volt egy második hullám a rosszindulatú szoftverekkel kapcsolatos fertőzésekkel kapcsolatban, amelyeket egy olyan kampány hozta létre, amelyen e-mail mellékletek szerepeltek.
Milyen messze van a "Petya" fertőzés terjedése?
A "Petya" felszabadító szoftver széles körben elterjedt, és megzavarta a vállalatok üzleti tevékenységét mind az Egyesült Államokban, mind Európában. Például a WPP, az Egyesült Államokban működő reklámcég, a Saint-Gobain, a franciaországi építőanyag-gyártó vállalat, valamint az oroszországi Rosneft és Evraz olaj- és acélipari vállalkozások voltak érintettek. A Pittsburgh-i vállalat, az Heritage Valley Health Systems, szintén a "Petya" malware-ként is érintett. Ez a vállalat kórházakat és ellátásokat üzemeltet a Pittsburgh-i területen.
A WannaCry-szel ellentétben azonban a "Petya" malware megpróbálja gyorsan elterjedni azon hálózatokon keresztül, amelyekhez hozzáfér, de nem próbálja magát a hálózaton kívülre terelni. Ez a tény önmagában valóban segíthetett ennek a rosszindulatú programnak a potenciális áldozatainak, mivel korlátozta annak terjedését. Úgy tűnik tehát csökken a hány új fertőzés.
Mi az a motiváció a számítógépes bűnözők számára, akik kiküldik "Petya?"
Amikor a "Petya" eredetileg felfedezték, úgy tűnik, hogy a rosszindulatú programok kitörése egyszerűen egy számítógépes bűnöző kísérlete volt, hogy kihasználja a kiszivárgott online cyber-fegyverek előnyeit. Azonban, amikor a biztonsági szakemberek jobban nézték a "Petya" malware-járványt, azt mondják, hogy bizonyos mechanizmusok, például a befizetés módja meglehetősen amatőr, ezért nem hiszik, hogy komoly internetes bűnözők állnak mögötte.
Először is, a "Petya" kártevőprogrammal együtt járó váltságdíj megjegyzése minden rosszindulatú áldozathoz ugyanazt a fizetési címet tartalmazza. Ez azért furcsa, mert az egyének minden egyes áldozatához egyedi címet alkottak. Másodszor, a program felkéri az áldozatait, hogy a támadókkal közvetlenül kommunikáljanak egy meghatározott e-mail címen keresztül, amelyet azonnal felfüggesztettek, amikor kiderült, hogy az e-mail címet a "Petya" áldozatokhoz használták. Ez azt jelenti, hogy ha egy személy fizet a $ 300-os váltságdíjat, akkor nem tud kommunikálni a támadókkal, továbbá nem férhetnek hozzá a dekódoló kulcshoz a számítógép vagy fájlok feloldásához.
Ki a támadók, akkor?
A cyberbiztonsági szakértők nem hiszik, hogy a "petya" malware mögött egy professzionális számítógépes bűnözés áll, tehát ki? Senki sem tudja ezen a ponton, de valószínű, hogy a felszabadított személy vagy személyek azt akarták, hogy a rosszindulatú programok egyszerű víruskeresőnek tűnjenek, hanem sokkal rombolóbbak, mint a tipikus felszabadító programok. Egy biztonsági kutató, Nicolas Weaver úgy véli, hogy "Petya" rosszindulatú, pusztító és szándékos támadás. Egy másik kutató, akit Grugq megy, úgy véli, hogy az eredeti "Petya" egy bűnszervezet részét képezte, hogy pénzt készítsen, de ez a "Petya" nem ugyanaz. Mindketten egyetértenek abban, hogy a rosszindulatú programot gyorsan terjeszteni és sok kárt okozni.
Amint azt már említettük, "Petya" -ot nagyon keményen érintették Ukrajnát, és az ország Oroszországra mutatott ujjait. Ez nem meglepő, tekintve, hogy Ukrajna számos korábbi cyber támadásért vádolta Oroszországot. Az egyik ilyen cyber-támadás történt 2015-ben, és az ukrán elektromos hálózatra irányult. Végül átmenetileg nyugat-ukrán részeit hagyta nélkül. Oroszország azonban tagadta az Ukrajnával kapcsolatos számítógépes támadásokban való részvételt.
Mit kell tenned, ha úgy véli, hogy Ön a Ransomware áldozata?
Gondolod, hogy áldozatul lehetsz egy iranómia támadás áldozatává? Ez a támadás megfertőz egy számítógépet, és kb. Egy órával vár, mielőtt a számítógép spontán újraindulna. Ha ez történik, azonnal próbálja meg kikapcsolni a számítógépet. Ez megakadályozhatja a számítógépen található fájlok titkosítását. Ezen a ponton megpróbálhatja leállítani a fájlokat a gépről.
Ha a számítógép befejezte az újraindítást és a váltságdíj nem jelenik meg, ne fizesse meg. Ne felejtse el, hogy az áldozatokból származó információk gyűjtésére és a kulcs elküldésére használt e-mail cím leáll. Ezért inkább húzza ki a számítógépet az internetről és a hálózattól, formázza újra a merevlemezt, majd használjon biztonsági mentést a fájlok újratelepítéséhez. Győződjön meg róla, hogy rendszeresen biztonsági másolatot készít a fájlokról, és folyamatosan frissíti a víruskereső szoftverét.