Vidljivi su rani znaci novog
ransomware-a, koji trenutno pogađa veliki broj
zemalja širom svjeta, kao što su: Velika Britanija,
Ukrajina, Indija, Holandija, Španija, SAD, Poljska,
Rusija i druge. Ovaj ransomware nakon infekcije
uređaja traži uplatu od oko $300 u vrijednosti
Bitcon-a. Trenutna ekspanzija je manja nego kod
WannaCry ransomware-a, ali je obim
„značajan“ navodi Costin Raiu,
Kaspersky Labs istraživač.
Petya ransomware |
Osnova ovog napada se zasniva
na verziji Petya ransomware-a, koji enkriptuje
MFT tabelu za NTFS i prepisuje MBR zapis
sa novim koji prilikom podizanja sistema pokazuje zahtjev za otkup
dokumenta i sprečava korisnika da podigne sistem na
inficiranom uređaju. Zbog ovoga je ovaj ransomware
mnogo opasniji i nametljiviji od ostalih, zato što
restratuje sistem i onemogućava rad na uređaju.
Upozorenje za otkup dokumeneta |
Nakon
infekcije uređaja, ransomware će čekati
10-60 minuta da bi pokrenuo restart uređaja i izvršio
navedene radnje. Ransomware dolazi i sa dvije
samostalne alatke (x32/x64) koje imaju zadatak da iz sistema izvuku
korisničko ime i lozinku za prijavljnje korisnika na
uređaju da bi se omogućila dalja infekcija uređaja
kroz mrežu.
Proces infekcije uređaja |
Prema navodima kompanija
Payload Security, Avira, Emsisoft,
Bitdefender, Symantec i drugih sigurnosnih
istraživača, inspiracija za ovu operaciju je napad
WannaCry ransomware-a prošlog mjeseca, tako da se i
ovaj napad baziran na NSA („Nacionalna bezbednosna
agencija“) EternalBlue ranivosti koja koristi
SMB za infekciju korisnika.
Za razliku od
WannaCry ransomware-a, ovaj ransomware se
širi i preko elektronske pošte u obliku
Office dokumenta, koristeći ranjivost
CVE-2017-0199 koja se odnosi na Office RTF
dokumente, koja omogućava preuzimanje instalacionog paketa i
njegovo pokretanje. Nakon instalacije, ransomware pokreće
SMB crva koji širi infekciju na nove uređaje u
mreži. Trenutno, dolaze izvještaji o napadu na
nekoliko zemalja. Izgleda da je trenutno najvše
pogođena Ukrajina, gdje je objavljeno da je u toku sajber
napad nepoznatim virusom na najveće banke, aerodrome i
pružaoce komunalnih usluga.
Na meti su i druge zemlje i kompanije:
Holandija – veliko transportno preduzeće Maersk;
Španija – Kompanija za hranu Mondelez i pravni gigant DLA Piper;
Velika Britanija – marketinška firma WPP;
SAD – farmaceutski gigant Merck;
Francuska – proizvođač građevinskog matrijala Saint-Gobain
zaustavio proizvodnju;
Rusija – Rosneft.
Iznad su navedene samo velike kompanije koje su priznale da su
pod sajber napadom, što ne zanči da su male firme pošteđene (vidi sliku iznad).
Globalno gledajući, prema dostupnim podacima iz kompanije Kaspersky,
Ukrajina i Rusija su najviše pogođene zemlje ransomware-om označenim kao
UDS:DangeroundObject.Multi.Generic.
Sigurnosne zakrpe nisu rješenje |
Izvještaji koji iz raznih izvora govore o zaraznoj prirodi
novog ransomware-a, sa informacijama da su stotine računara zaključane u istoj
mreži u samo nekoliko minuta. Dio problema je što i sistemi sa instaliranim
sigurnosnim zakrpama nisu sigurni od napada, jer ransomware koristi WMIC
(Windows Management Instrumentation Command-line) i PSExec za infekciju. U
trenutku pisanja, napadači su zaradili 2.54 Bitcoin-a, odnosno oko $6.000, što
je prilično značajna suma, uz činjenicu da je WannaCry zaradio tek oko $2.000
za jedan dan. Treba napomenuti da za razliku od WannaCry, ovaj ransomware
izgleda da nema „prekidač za gašenje“.
KAKO SE ZAŠTITI:
1. Instalirati MS17-010
sigurnosnu zakrpu za EternalBlue ranivost.
2. Onemogućiti SMBv1
protokol.
3. Onemogućiti
WMIC.
4. Ako je moguće, onemogućiti
PSExec utility.
5. Onemogućiti otvaranje RTF
dokumenata u aplikaciji Word.
6. Podesiti da Office otvara
dokumente u Protected View modu.
7. Korisnicima se savjetuje da ne otvaraju
sumnjivu elektronsku poštu i priloge, kao i ne
očekivanu elektrosku poštu i priloge.
8. Kvalitetno anti-virus riješenje
u kombinaciji sa edukacijom korisnika.
INFEKCIJA UREĐAJA:
Ako vam se uređaj sam restartuje i
vidite ovu poruku:
Ransomware vrši enkripciju podataka |
ODMAH isključite uređaj, jer je velika vjerovatnoća da
ransomware počinje enkripciju vaših podataka. U svakom slučaju ako utvrdite ili
sumnjate da vam je uređaj zaražen, odmah ga isključite iz mreže (sa kabla ili
WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i
informišite se o naredenom koraku.