Ovaj napad je zabrinjavajući zbog toga što je to drugi veliki napad na ransomware za dva meseca, što je uticalo na kompanije širom svijeta. Možda se zapamtite da je u maju Nacionalna zdravstvena služba, NHS, u Britaniji zaražena zlonamernim softverom zvanim WannaCry. Ovaj program je uticao na NHS i brojne druge organizacije širom svijeta. WannaCry je prvi put otkriven javnosti kada su objavljeni protokoli vezani za NHS objavili onlajn hakeri poznati kao Brokeri senki u aprilu.
Softver WannaCry, takođe nazvan WannaCrypt, pogodio je višak od 230.000 računara, koji su bili locirani u više od 150 zemalja širom svijeta. Pored NZS-a, napadnuta je i Telefonica, španska telefonska kompanija i državne železnice u Nemačkoj.
Slično kao WannaCry, "Petya" se brzo širi kroz mreže koje koriste Microsoft Windows. Pitanje je, međutim, šta je to? Takođe želimo da znamo zašto se to dešava i kako se može zaustaviti.
Šta je Ransomware?
Prva stvar koju morate razumjeti je definicija ransomware-a . U osnovi, ransomware je svaka vrsta malvera koji radi na blokiranju vašeg pristupa računaru ili podacima. Zatim, kada pokušate da pristupite tom kompjuteru ili podacima o njemu, ne možete doći do njega, osim ako ne platite otkupninu. Prilično gad, i upravo znači!
Kako funkcioniše Ransomware?
Takođe je važno shvatiti kako funkcioniše ransomware. Kada je računar zaražen od strane ransomware, postaje šifrovana. To znači da su dokumenti na vašem računaru zaključani i ne možete ih otvoriti bez plaćanja otkupnine. Da bi se još više komplikovali stvari, otkupnina mora biti plaćena u Bitcoinu, a ne u kešu, za digitalni ključ koji možete koristiti za otključavanje datoteka. Ako nemate rezervnu kopiju svojih datoteka, imate dva izbora: možete platiti otkupninu, koja je obično par stotina dolara do nekoliko hiljada dolara ili izgubite pristup svim vašim datotekama.
Kako funkcioniše "Petya" Ransomware?
"Petya" ransomware radi kao većina ransomware-a. On preuzima računar, a zatim traži 300 dolara u Bitcoinu. Ovo je zlonamerni softver koji se brzo širi preko mreže ili organizacije kada se inficira jedan računar. Ovaj određeni softver koristi ranjivost EternalBlue, koja je deo Microsoft Windows-a. Iako je Microsoft sada objavio zakrpu za ranjivost, nisu ga svi instalirali. Ransomware se takođe može distribuirati preko Windows alatki za administraciju, koji je dostupan ako na računaru nema lozinke. Ako zlonamjerni softver ne može da se nađe na jedan način, on automatski pokušava drugi, a to je kako se tako brzo proširio među ovim organizacijama.
Prema tome, "Petya" se prostire mnogo lakše nego WannaCry, prema stručnjacima za cyber security.
Da li postoji način da se zaštitite od "Petya"?
Verovatno se pitate u ovom trenutku da li postoji način da se zaštitite od "Petya". Većina glavnih antivirusnih kompanija tvrde da su ažurirali svoj softver kako bi pomogli ne samo otkrivanju već i zaštiti od infekcije malwarea "Petya". Na primer, Symantec softver nudi zaštitu od "Petya", a Kaspersky je ažurirao sav svoj softver kako bi pomogao klijentima da se zaštite od malvera. Osim toga, možete se zaštititi tako što ćete ažurirati Windows. Ako ne uradite ništa drugo, barem instalirajte kritičku dopunu koju je Windows objavio u martu, koji se brani protiv ove ranjivosti EternalBlue. Ovo zaustavlja jedan od glavnih načina da se inficira, a takođe štiti od budućih napada.
Još jedna linija odbrane za epidemiju zlonamjernog programa "Petya" je takođe dostupna, a tek je nedavno otkrivena. Malver provjerava C: \ pogon za datoteku samo za čitanje koja se zove perfc.dat. Ako malver pronadje ovu datoteku, on ne pokrece enkripciju. Međutim, čak i ako imate ovu datoteku, on zapravo ne sprečava infekciju malvera. I dalje može da širi malver na druge računare na mreži, čak i ako korisnik to ne primeti na svom računaru.
Zašto se ovaj malware naziva "Petya"?
Možda se takođe pitate zašto je ovaj malver nazvan "Petya". Zapravo, tehnički se ne zove "Petya". Umesto toga, čini se da ima puno koda sa starim komadom ransomware-a koji se naziva "Petya". međutim, nakon početne epidemije, stručnjaci za sigurnost su primetili da ova dva otkupna sredstva nisu slična onoj kako je to prvo razmišljalo. Tako su istraživači u Kaspersky Labu započeli da se pozivaju na malware kao "NotPetya" (to je original!), Kao i druga imena, uključujući "Petna" i "Pneytnu". Pored toga, drugi istraživači su nazvali program drugim imenima uključujući "Goldeneye" Bitdefender, iz Rumunije, počeo je da je zove. Međutim, "Petya" se već zaglavila.
Gde je počela "Petya"?
Da li se pitate gde je "Petya" započeo? Čini se da je počelo putem mehanizma za ažuriranje softvera koji je ugrađen u određeni računovodstveni program. Ove kompanije su radile sa ukrajinskom vladom i zahtevale od vlade da koristi ovaj konkretan program. Zbog toga je ovako uticalo na mnoge kompanije u Ukrajini. Organizacije uključuju banke, vladu, metro sistem Kijeva, glavnog kijevskog aerodroma i državnih elektroprivrednih preduzeća.
Sistem koji prati nivoe zračenja u Černobilu takođe je bio pod utjecajem ransomware-a, i na kraju je preuzeto van mreže. Ovo je primoralo zaposlenike da koriste ručne ručne uređaje za merenje zračenja u zoni isključenja. Povrh toga, postojao je drugi talas infekcija malvera koji je pokrenuta kampanjom koja je sadržala e-mail priloge, koje su bile ispunjene malverom.
Koliko daleko ima infekcija "Petya"?
"Ransomware" "Petya" se proširio širom svijeta i poremetio je poslovanje kompanija kako u SAD tako iu Evropi. Na primjer, WPP, reklamna firma u SAD-u, Saint-Gobain, firma za građevinske materijale u Francuskoj, i kompanije Rosneft i Evraz, naftne i čelične firme u Rusiji, takođe su pogođene. Kompanija Pittsburgh, Heritage Valley Health Systems, takođe je pogođena malwareom "Petya". Ova kompanija upravlja bolnicama i ustanovama za negu širom oblasti Pittsburgha.
Međutim, za razliku od WannaCry, malware "Petya" pokušava brzo širiti kroz mreže na koje pristupa, ali se ne pokušava širiti izvan mreže. Ova činjenica samo je mogla da pomogne potencijalnim žrtvama ovog zlonamernog softvera, jer je ograničila širenje. Dakle, izgleda da postoji smanjenje broja novih infekcija.
Šta je motivacija za sajber-kriminalce koji šalju "Petju"?
Kada je "Petya" u početku otkriven, čini se da je epidemija malvera bila samo pokušaj sajber-kriminalca da iskoristi predodređeno online sajber-oružje. Međutim, kada su stručnjaci za bezbednost izgledali bliže u izbijanju malwarea "Petya", kažu da su neki mehanizmi, poput načina naplate plaćanja, prilično amaterski, tako da oni ne vjeruju da su iza nje ozbiljni sajber-kriminalci.
Prvo, beleška o otkupu koja dolazi sa malwareom "Petya" uključuje istu istu adresu za plaćanje za svaku žrtvu malvera. Ovo je čudno zato što profesionalci kreiraju prilagođenu adresu za svaku od svojih žrtava. Drugo, program traži od svojih žrtava da direktno komuniciraju sa napadačima putem određene adrese e-pošte, koja je odmah suspendovana kada je otkriveno da je adresa e-pošte korištena za žrtve "Petya". To znači da čak i ako osoba plaća otplatu od 300 USD, ne može se komunicirati sa napadačima, a osim toga, ne mogu pristupiti ključu za dešifrovanje da bi otključali računar ili njegove datoteke.
Ko su napadači, onda?
Stručnjaci za sigurnost računara ne veruju da je iza malwarea "Petya" profesionalni kibercriminal, pa ko je? U ovom trenutku niko ne zna, ali verovatno je da je osoba ili osobe koje su ga pustile htele da malver izgleda kao jednostavan ransomware, ali umesto toga, mnogo je destruktivniji od tipičnih ransomware-a. Istraživač bezbednosti, Nicolas Weaver, smatra da je "Petya" zlonamerni, destruktivni i namerni napad. Drugi istraživač, kome ide Grugq, veruje da je originalni "Petya" bio dio kriminalne organizacije koja zarađuje novac, ali ova "Petya" ne radi isto. Obojica se slažu da je zlonamerni softver dizajniran da se brzo širi i da stvori veliku štetu.
Kao što smo pomenuli, Ukrajinu je prilično pogođena "Petya", a zemlja je pokazivala prste u Rusiji. Ovo nije iznenađujuće što je s obzirom da je Ukrajina krivila Rusiju zbog brojnih prethodnih kibernetaka. Jedna od tih kibernetskih napada dogodila se 2015, a cilj je bio na ukrajinskoj elektrodistribuciji. Na kraju je privremeno napustilo delove zapadne Ukrajine bez ikakve sile. Međutim, Rusija je negirala bilo kakvo učešće u kibernetskim napadima na Ukrajinu.
Šta bi trebalo da uradite ako verujete da ste žrtva Ransomware-a?
Mislite li da ste možda žrtva napada na prevaru? Ovaj konkretan napad zarazi računar i čeka približno otprilike sat pre nego što se računar pokrene spontano. Ako se ovo desi, odmah pokušajte da isključite računar. Ovo može sprečiti šifriranje datoteka na računaru. U tom trenutku možete pokušati preuzeti datoteke sa mašine.
Ako računar završi reboot i otkup nije pojavio, ne plaćajte. Zapamtite, adresa e-pošte koja se koristi za prikupljanje informacija od žrtava i slanje ključa je isključena. Dakle, umesto toga, isključite računar sa Interneta i mreže, preformulišite čvrsti disk, a zatim koristite rezervnu kopiju da biste ponovo instalirali datoteke. Proverite da li redovno pravite rezervne kopije datoteka i uvek ažurirajte antivirusni softver.