[ Zavřít ] 


 

RSS Kanál

 

Masivnější a zákeřnější ransomware: zmutovaná Petya KE STAŽENÍ

Ani ne měsíc je tomu, co se svět vzpamatovával z masivního útoku ransomware WannaCry a už je tu útok další. Masivnější. Zákeřnější. Zmutovaná varianta staršího malware Petya 2.0. Opět útočí přes protokol SMB, opět šifruje data obětí, opět masivně cílí Ukrajinu. Náhoda?

 

Úvodní ohlášení se původní Petyi (Zdroj: Trend Micro)

V úterní podvečer 27. června zasáhla řadu odvětví na Ukrajině vlna útoků ransomwarem. Eset tuto hrozbu identifikuje coby Win32/Diskcoder.C Trojan a v podstatě jde o zmutovanou verzi staršího malwaru Petya, který šifroval MBR (z angl. Master Boot Record; hlavní spouštěcí záznam v prvním sektoru disku počítače). To potvrzuje Robert Lipovský, výzkumník malwaru Eset: „Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa.“

Na Ukrajině byly hlášeny mimořádné výpady IT v bankovním sektoru, v energetických rozvodných sítích Kyivenergo a Ukenergo a v poštovních společnostech. Pak se začaly přicházet z dalších zemích: Itálie, Španělska, Izraele, Srbska a jiných států střední a východní Evropy Českou republiku nevyjímaje. Ta ostatně patří k deseti nejpostiženějším zemím. Ale ransomware řádil i za hranicemi těchto států a zasáhl také nadnárodní korporace, jako jsou lodní dopravce A.P. Moeller-Maersk A/S, marketingovou společnost WPP Group PLC, ruský ropný gigant PAO Rosneft.

Po restartu se oběť dozvídá, že její systém je znepřístupněn a přístup bude obnoven až po zaplacení 300 dolarů (Zdroj: Avast.com)

Rozsah škod a zasažených cílů je doslova šokující. A to vzhledem k jednomu prostému faktu. Tato zmutovaná Petya k útoku využívá SMB exploit. Jinými slovy útočí přes zranitelnost v SMB protokolu, stejného protokolu přes jeho zranitelnost útočil i nedávný ransomware WannaCry. Záplaty této zranitelnosti uvolnil Microsoft dokonce i pro jinak už vůbec nepodporované systémy Windows XP. A jinak byl tento protokol široce zakazován bez obtěžování se záplatováním vůbec... Těžko říct, proč se po světě vůbec našlo tolik nezabezpečených subjektů sotva měsíc po obdobném útoku.

Krom SMB exploitu Petya 2.0 využívá PxExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací. „Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě,“ upozorňuje Lipovský. „Škodlivému kódu stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů,“ vysvětluje Lipovský vektor útoku v prostředí lokálních sítí. Check Point zjistil, že v útoku je zapojen i automatizovaný bot Loki, který krade přihlašovací údaje. 

Master Boot Record: hlavní spouštěcí záznam systému umístěný v prvním sektoru disku počítače

Po úspěšném napadení počítače Petya 2.0 zašifruje MBR. Operační systém tím pádem nemá přístup k MBR a místo nabootování se po restartu zobrazí požadavek na zaplacení výkupného ve výši 300 USD. Útok na MBR je vysoce efektivní, neboť jeho zašifrování je okamžikem chvilky. Na druhou stranu data na samotném disku zůstávají nezašifrovaná - lze tedy disk vyjmout z počítače a extrahovat na počítači jiném. Teprve poté, co pokus o zašifrování MBR selže, pokouší se Petya 2.0 přistoupit na disk a zašifrovat data tam. 

Vzhledem k mechanismu působení Petyi 2.0 je po zašifrování dat nejlepší okamžitě počítač vypnout, neboť malware nestihne dostatečně rychle a efektivně znepřístupnit data na disku, jejichž šifrování by trvalo podstatně delší dobu než šifrování MBR. Vzhledem k vektoru útoku by se také všichni postižení měli zamyslet nad správou svých dat, neboť napadení Petyou 2.0 je v podstatě a bez obalu trestem za blbost. Jak se chránit před napadením?, jsme se rozepsali již při útoku ransomwarem WannaCry.

Podivné je ještě množství cílů na Ukrajině. Ta se stala cílem kybernetických útoků již několikrát. Navíc stále je útočeno na klíčové prvky infrastruktury. A všechny tyto útoky se zdají přicházet ze zemí spojených komunistickou přízní: ze Severní Koreji a Ruské federace.

Zdroje: Eset.com, TZ Check Point, Blog Avast, Blog Trend Micro

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...

Microsoft končí s kamennými prodejnami

Koronavirus zpečetil osud kamenných prodejen Microsoftu. Znovu se už neotevřou. Ze všech poboček zůstanou zachovány jen čtyři provozovny na prestižních adresách. Ani ty ovšem nebudou sloužit maloobchodnímu prodeji, nýbrž reprezentačním účelům.  ...

Edge bez oprávnění nakládá s osobními daty

Uvolnění Microsoft Edge na vykreslovacím jádru už doprovází další kauza Microsoftu. Edge si sám naimportuje veškerá data dostupných prohlížečů, aniž by se obtěžoval zeptat se uživatele. To, co jeden může považovat za specifické selhání v...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama