среда, 28. јун 2017.

Nova Ransomware infekcija širom svjeta


Vidljivi su rani znaci novog ransomware-a, koji trenutno pogađa veliki broj zemalja širom svjeta, kao što su: Velika Britanija, Ukrajina, Indija, Holandija, Španija, SAD, Poljska, Rusija i druge. Ovaj ransomware nakon infekcije uređaja traži uplatu od oko $300 u vrijednosti Bitcon-a. Trenutna ekspanzija je manja nego kod  WannaCry ransomware-a, ali je obim „značajan“ navodi Costin Raiu, Kaspersky Labs istraživač.

Petya ransomware
Osnova ovog napada se zasniva na verziji Petya ransomware-a, koji enkriptuje MFT tabelu za NTFS i prepisuje MBR zapis sa novim koji prilikom podizanja sistema pokazuje zahtjev za otkup dokumenta i sprečava korisnika da podigne sistem na inficiranom uređaju. Zbog ovoga je ovaj ransomware mnogo opasniji i nametljiviji od ostalih, zato što restratuje sistem i onemogućava rad na uređaju.

Upozorenje za otkup dokumeneta

 Nakon infekcije uređaja, ransomware će čekati 10-60 minuta da bi pokrenuo restart uređaja i izvršio navedene radnje. Ransomware dolazi i sa dvije samostalne alatke (x32/x64) koje imaju zadatak da iz sistema izvuku korisničko ime i lozinku za prijavljnje korisnika na uređaju da bi se omogućila dalja infekcija uređaja kroz mrežu.

Proces infekcije uređaja

Prema navodima kompanija Payload Security, Avira, Emsisoft, Bitdefender, Symantec i drugih sigurnosnih istraživača, inspiracija za ovu operaciju je napad WannaCry ransomware-a prošlog mjeseca, tako da se i ovaj napad baziran na NSA („Nacionalna bezbednosna agencija“) EternalBlue ranivosti koja koristi SMB za infekciju korisnika.
 
Napad preko elektronske pošte

Za razliku od WannaCry  ransomware-a, ovaj ransomware se širi i preko elektronske pošte u obliku Office dokumenta, koristeći ranjivost CVE-2017-0199 koja se odnosi na Office RTF dokumente, koja omogućava preuzimanje instalacionog paketa i njegovo pokretanje. Nakon instalacije, ransomware pokreće SMB crva koji širi infekciju na nove uređaje u mreži.  Trenutno, dolaze izvještaji o napadu na nekoliko zemalja. Izgleda da je trenutno najvše pogođena Ukrajina, gdje je objavljeno da je u toku sajber napad nepoznatim virusom na najveće banke, aerodrome i pružaoce komunalnih usluga.


Na meti su i druge zemlje i kompanije:


Holandija – veliko transportno preduzeće Maersk;
Španija – Kompanija za hranu Mondelez i pravni gigant DLA Piper;
Velika Britanija – marketinška firma WPP;
SAD – farmaceutski gigant Merck;
Francuska – proizvođač građevinskog matrijala Saint-Gobain zaustavio proizvodnju;
Rusija – Rosneft.
 
Supermarket u Harkivu, Ukrajina


Iznad su navedene samo velike kompanije koje su priznale da su pod sajber napadom, što ne zanči da su male firme pošteđene (vidi sliku iznad).  Globalno gledajući, prema dostupnim podacima iz kompanije Kaspersky, Ukrajina i Rusija su najviše pogođene zemlje ransomware-om označenim kao UDS:DangeroundObject.Multi.Generic.
 
Sigurnosne zakrpe nisu rješenje


Izvještaji koji iz raznih izvora govore o zaraznoj prirodi novog ransomware-a, sa informacijama da su stotine računara zaključane u istoj mreži u samo nekoliko minuta. Dio problema je što i sistemi sa instaliranim sigurnosnim zakrpama nisu sigurni od napada, jer ransomware koristi WMIC (Windows Management Instrumentation Command-line) i PSExec za infekciju. U trenutku pisanja, napadači su zaradili 2.54 Bitcoin-a, odnosno oko $6.000, što je prilično značajna suma, uz činjenicu da je WannaCry zaradio tek oko $2.000 za jedan dan. Treba napomenuti da za razliku od WannaCry, ovaj ransomware izgleda da nema „prekidač za gašenje“.



KAKO SE ZAŠTITI:
1. Instalirati MS17-010 sigurnosnu zakrpu za EternalBlue ranivost.
2. Onemogućiti SMBv1 protokol.
3. Onemogućiti WMIC.
4. Ako je moguće, onemogućiti PSExec utility.
5. Onemogućiti otvaranje RTF dokumenata u aplikaciji Word.
6. Podesiti da Office otvara dokumente u Protected View modu.
7. Korisnicima se savjetuje da ne otvaraju sumnjivu elektronsku poštu i priloge, kao i ne očekivanu elektrosku poštu i priloge.
8. Kvalitetno anti-virus riješenje u kombinaciji sa edukacijom korisnika.

INFEKCIJA UREĐAJA:

Ako vam se uređaj sam restartuje i vidite ovu poruku:
Ransomware vrši enkripciju podataka

ODMAH isključite uređaj, jer je velika vjerovatnoća da ransomware počinje enkripciju vaših podataka. U svakom slučaju ako utvrdite ili sumnjate da vam je uređaj zaražen, odmah ga isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o naredenom koraku.