Acest atac este îngrijorător deoarece este cel de-al doilea atac major de ransomware în două luni, ceea ce a afectat companiile din întreaga lume. S-ar putea să vă amintiți că în luna mai, Serviciul Național de Sănătate, NHS, din Marea Britanie, a fost infectat cu malware numit WannaCry. Acest program a afectat NHS și numeroase alte organizații de pe tot globul. WannaCry a fost dezvăluit pentru prima oară publicului atunci când documentele scurgeri legate de NHS au fost lansate online de hackeri cunoscuți sub numele de Shadow Brokers în aprilie.
Software-ul WannaCry, denumit și WannaCrypt, a afectat un exces de 230.000 de computere, care se aflau în peste 150 de țări din întreaga lume. În plus față de NHS, Telefonica, o companie de telefonie spaniolă și căile ferate de stat din Germania au fost, de asemenea, atacate.
Similar cu WannaCry, "Petya" se răspândește rapid pe întreaga rețea care utilizează Microsoft Windows. Întrebarea este, totuși, ce este? De asemenea, dorim să știm de ce se întâmplă și cum poate fi oprită.
Ce este Ransomware?
Primul lucru pe care trebuie să-l înțelegeți este definiția de răscumpărare . Practic, ransomware-ul este orice tip de malware care funcționează pentru a bloca accesul la un computer sau la date. Apoi, când încercați să accesați acel computer sau datele de pe el, nu puteți ajunge la el decât dacă plătiți o răscumpărare. Destul de urât și de grație!
Cum funcționează Ransomware?
De asemenea, este important să înțelegeți cum funcționează ransomware-ul. Când un computer este infectat cu ransomware, acesta devine criptat. Aceasta înseamnă că documentele de pe calculatorul dvs. sunt apoi blocate și nu le puteți deschide fără să plătiți o răscumpărare. Pentru a complica mai mult lucrurile, răscumpărarea trebuie plătită în Bitcoin, nu în numerar, pentru o cheie digitală pe care o puteți utiliza pentru a debloca fișierele. Dacă nu aveți o copie de rezervă a fișierelor dvs., aveți două opțiuni: puteți plăti răscumpărarea, care este, de obicei, câteva sute de dolari până la câteva mii de dolari sau dacă pierdeți accesul la toate fișierele.
Cum funcționează Ransomware "Petya"?
Robotul "Petya" funcționează ca majoritatea ransomware-urilor. Începe un computer și apoi cere 300 de dolari în Bitcoin. Acesta este un software rău intenționat, care se răspândește rapid într-o rețea sau o organizație, odată ce un singur computer este infectat. Acest software particular utilizează vulnerabilitatea EternalBlue, care face parte din Microsoft Windows. Deși Microsoft a lansat acum un patch pentru vulnerabilitate, nu toată lumea a instalat-o. De asemenea, răscumpărarea poate fi răspândită prin intermediul instrumentelor administrative Windows, care este accesibilă dacă nu există nicio parolă pe computer. Dacă malware-ul nu poate ajunge într-un singur mod, acesta încearcă automat un altul, așa sa răspândit atât de repede în rândul acestor organizații.
Astfel, "Petya" se răspândește mult mai ușor decât WannaCry, potrivit experților în securitate cibernetică.
Există vreo cale de a vă proteja de "Petya"?
Probabil că vă întrebați dacă există vreo modalitate de a vă proteja de "Petya". Cele mai importante companii antivirus au susținut că au actualizat software-ul pentru a ajuta nu numai să detecteze, ci și să protejeze împotriva infecției malware "Petya". De exemplu, software-ul Symantec oferă protecție împotriva "Petya", iar Kaspersky și-a actualizat întregul software pentru a ajuta clienții să se protejeze de malware. În plus, puteți să vă protejați prin menținerea actualizării Windows. Dacă nu faceți altceva, instalați cel puțin patch-urile critice pe care Windows le-a lansat în martie, care se apără împotriva acestei vulnerabilități EternalBlue. Acest lucru oprește una dintre căile majore de infectare și protejează împotriva atacurilor viitoare.
O altă linie de apărare pentru focarul malware "Petya" este de asemenea disponibilă și a fost descoperită recent. Malware-ul verifică unitatea C: \ pentru un fișier numai pentru citire numit perfc.dat. Dacă malware-ul găsește acest fișier, acesta nu rulează criptarea. Cu toate acestea, chiar dacă aveți acest fișier, acesta nu împiedică, de fapt, infecția malware. Poate răspândi în continuare malware-ul la alte computere dintr-o rețea, chiar dacă utilizatorul nu o observă pe computer.
De ce este numit acest program malware "Petya?"
S-ar putea sa te intrebi de ce acest malware este numit "Petya". De fapt, nu este numit tehnic "Petya". In schimb, pare sa imparta o multime de coduri cu o piesa veche de ransomware numita "Petya" în urma izbucnirii inițiale, totuși, experții în securitate au remarcat că aceste două ransomware nu erau la fel de asemănătoare cu cele pe care le-a crezut prima oară. Deci, cercetătorii de la Kaspersky Lab au început să se refere la malware ca "NotPetya" (original) !, precum și alte nume, inclusiv "Petna" și "Pneytna." În plus, alți cercetători au numit programul alte nume, inclusiv "Goldeneye" Bitdefender, din România, a început să o numească. Totuși, "Petya" fusese deja blocată.
Unde a început "Petya"?
Te întrebi unde a început "Petya"? Se pare că a început printr-un mecanism de actualizare a software-ului care este integrat într-un anumit program contabil. Aceste companii lucrau cu guvernul ucrainean și erau obligate de guvern să folosească acest program special. De aceea, atât de multe companii din Ucraina au fost afectate de acest lucru. Organizațiile includ băncile, guvernul, sistemul de metrou de la Kiev, aeroportul major Kiev și utilitățile de stat ale statului.
Sistemul care monitorizează nivelurile de radiații de la Cernobîl a fost, de asemenea, afectat de ransomware și, în cele din urmă, a fost deconectat. Acest lucru a forțat angajații să utilizeze dispozitive manuale de mână pentru a măsura radiațiile în zona de excludere. În plus, a existat un al doilea val de infecții malware care au fost generate de o campanie care conținea atașamente de e-mail, care erau pline de programe malware.
Cat de departe a raspandit infectia "Petya"?
Rambursul "Petya" sa răspândit pe scară largă și a perturbat afacerile companiilor atât în SUA, cât și în Europa. De exemplu, WPP, o firmă de publicitate din SUA, Saint-Gobain, o companie de materiale de construcție din Franța, și atât întreprinderile Rosneft și Evraz, companiile de petrol și oțel din Rusia, au fost, de asemenea, afectate. O companie din Pittsburgh, Heritage Valley Health Systems, a fost de asemenea lovită de malware-ul "Petya". Această companie deține spitale și facilități de îngrijire în întreaga zonă Pittsburgh.
Cu toate acestea, spre deosebire de WannaCry, malware-ul "Petya" încearcă să se răspândească rapid prin rețelele pe care le accesează, dar nu încearcă să se răspândească în afara rețelei. Acest fapt singur ar fi putut ajuta efectiv victimele potențiale ale acestui malware, deoarece a limitat răspândirea acestuia. Deci, se pare că există o scădere a numărului de infecții noi care au fost văzute.
Care este motivația pentru infractorii cibernetici care trimit "Petya?"
Când a fost inițial descoperită "Petya", se pare că izbucnirea malware-ului a fost pur și simplu o încercare a unui infractor cibernetic să profite de armele online ciudate. Cu toate acestea, când profesioniștii din domeniul securității se uitau puțin mai mult la focarul malware "Petya", spun că unele mecanisme, cum ar fi modul în care sunt colectate plățile, sunt destul de amatori, deci nu cred că sunt în urma lor infractorii cibernetici grave.
În primul rând, nota de răscumpărare care vine cu software-ul "Petya" include exact aceeași adresă de plată pentru fiecare victimă malware. Acest lucru este ciudat, deoarece profesioniștii creează o adresă personalizată pentru fiecare dintre victimele lor. În al doilea rând, programul îi cere victimelor să comunice direct cu atacatorii prin intermediul unei adrese de e-mail specifice, care a fost imediat suspendată atunci când sa descoperit că adresa de e-mail a fost utilizată pentru victimele "Petya". Aceasta înseamnă că, chiar dacă o persoană plătește răscumpărarea de 300 USD, nu poate comunica cu atacatorii și, în plus, nu poate accesa cheia de decriptare pentru a debloca computerul sau fișierele acestuia.
Cine sunt atacatorii, atunci?
Experții în domeniul securității informatice nu cred că un criminal informatic profesionist se află în spatele malware-ului "Petya", deci cine este? Nimeni nu știe în acest moment, dar este probabil că persoana sau persoanele care au lansat-o doreau ca malware-ul să pară ca simplu ransomware, dar în schimb este mult mai distructiv decât răscumpărarea tipică. Un cercetător de securitate, Nicolas Weaver, crede că "Petya" este un atac rău intenționat, distructiv și deliberat. Un alt cercetător, care merge de la Grugq, crede că originalul "Petya" face parte dintr-o organizație criminală de a face bani, dar acest "Petya" nu face același lucru. Ambii sunt de acord că malware-ul a fost proiectat să se răspândească rapid și să provoace multe pagube.
După cum am menționat, Ucraina a fost lovită destul de greu de "Petya", iar țara și-a îndreptat degetele spre Rusia. Acest lucru nu este surprinzător, având în vedere că Ucraina a acuzat Rusia de o serie de atacuri cibernetice anterioare. Unul dintre aceste atacuri cibernetice a avut loc în 2015 și sa îndreptat spre rețeaua electrică ucraineană. În cele din urmă a ajuns să părăsească temporar părți din vestul Ucrainei fără nici o putere. Rusia, însă, a negat orice implicare în atacurile cibernetice asupra Ucrainei.
Ce ar trebui să faceți dacă credeți că sunteți o victimă a Ransomware?
Credeți că ați putea fi victima unui atac de răscumpărare? Acest atac anume infectează un computer și așteaptă aproximativ o oră înainte ca computerul să înceapă spontan să repornească. Dacă se întâmplă acest lucru, încercați imediat să opriți computerul. Acest lucru poate împiedica criptarea fișierelor de pe computer. În acest moment, puteți încerca să scoateți fișierele de pe mașină.
Dacă computerul termină repornirea și nu apare o răscumpărare, nu o plătiți. Rețineți că adresa de e-mail utilizată pentru a colecta informații de la victime și pentru a trimite cheia este închisă. În consecință, deconectați PC-ul de la internet și din rețea, reformatați hard disk-ul și apoi utilizați o copie de rezervă pentru a reinstala fișierele. Asigurați-vă că întotdeauna faceți copii de rezervă ale fișierelor în mod regulat și păstrați întotdeauna software-ul antivirus actualizat.