Den massive WannaCry ransomware er endnu ikke død, og endnu et stort ransomware-angreb skaber kaos over hele verden og inficerer og lukker maskinerne i målestok. En ny malware kaldet "Petya Ransomware" or "Petwrap Ransomware" angreb mange af computere i banker, virksomheder, strømforsyninger og banker i hele Rusland, Ukraine, Spanien, Frankrig, Storbritannien, Indien og Europa og krævede $ 300 i bitcoins.
Ifølge kilder spredes malware hurtigt ved hjælp af den samme Windows SMBv1-sårbarhed, som WannaCry-ransomware tidligere har misbrugt i maj 2017 til at inficere 300,000 computere verden over på bare 72 timer.
Hvad er Petya Ransomware?
Petya er et grimt stykke ransomware og fungerer meget forskelligt fra enhver anden ransomware-malware. I modsætning til andre traditionelle ransomware krypterer Petya ikke filer på et målrettet system en efter en.
I stedet genstarter Petya ofrene på computere og krypterer harddiskens masterfiltabel (MFT) og gør MBR (master boot record) ubrugelig, hvilket begrænser adgangen til det fulde system ved at gribe oplysninger om filnavne, størrelser og placering på den fysiske disk.
Petya ransomware erstatter computerens MBR med sin egen ondsindede kode, der viser løsesumnoten og efterlader computere ikke i stand til at starte. Ifølge sikkerhedsforskningsfirmaet Kaspersky kunne Petya være en variant af Petya.A, Petya.D eller PetrWrap.
Hvordan påvirker Petya Ransomware?
Petya ransomware spredes over Microsoft Windows SMB-protokollen. Det bruger Eternalblue-udnyttelsesværktøjet, der udnytter CVE-2017-0144. Ligesom Wannacry drager det fordel af ikke-patchede Windows-maskiner.
”Petya bruger NSA Evig blå udnytte men også spredes i interne netværk med WMIC og PSEXEC. Derfor kan patchede systemer blive ramt. ” Mikko Hypponen, Chief Research Officer hos F-Secure, har tweetet.
Efter at systemet er kompromitteret, bliver offeret bedt om at sende US $ 300 i Bitcoin til en bestemt Bitcoin-adresse og derefter sende en e-mail til dem med offerets Bitcoin-tegnebog-id for at hente deres individuelle dekrypteringsnøgle.
Offerets computer vises med en besked, der siger: “Hvis du ser denne tekst, er dine filer ikke længere tilgængelige, fordi de er krypteret. Måske har du travlt med at lede efter en måde at gendanne dine filer på, men spild ikke din tid. Ingen kan gendanne dine filer uden vores dekrypteringstjeneste. ”
Petya Ransomware rammer banker, virksomheder og teleselskaber
I de sidste par timer har Petya-ransomware allerede inficeret den russiske statsejede oliekæmpe Rosneft, ukrainske statslige elleverandører, “Kyivenergo” og “Ukrenergo.” Der er også rapporter fra flere banker, herunder National Bank of Ukraine (NBU) og Oschadbank, der bekræfter, at de er blevet ramt af Petya-ransomware-angrebene.
Maersk, et internationalt logistikfirma, har også bekræftet på Twitter, at de seneste Petya-ransomware-angreb har lukket dets IT-systemer flere steder og forretningsenheder. Tre ukrainske teleoperatører, Kyivstar, LifeCell, Ukrtelecom, er også påvirket af det seneste Petya-angreb.
De alvorligste skader rapporteret af ukrainske virksomheder inkluderer også kompromitterede systemer i Ukraines lokale metro og Kievs Boryspil lufthavn.
Sådan forhindres infektion fra Petya Ransomware?
Sikkerhedsforskere fandt ud af, at Petya ransomware krypterer systemer efter genstart af computeren. Så hvis dit system er inficeret med Petya ransomware, og det forsøger at genstarte, skal du bare slukke for det med det samme.
“Hvis maskinen genstarter, og du ser denne meddelelse, skal du straks slukke for den! Dette er krypteringsprocessen. Hvis du ikke tænder, er filer i orden, ”tweetede HackerFantastic.
Hvis maskinen genstarter, og du ser denne meddelelse, skal du straks slukke for den! Dette er krypteringsprocessen. Hvis du ikke tænder, er filerne fine. pic.twitter.com/IqwzWdlrX6
— hackerfantastic.x (@hackerfantastic) 27. Juni, 2017
Angrebet af Petya Ransomware? Her er hvad du skal gøre:
Inficerede brugere rådes til ikke at betale løsesummen, fordi hackere bag Petya ransomware ikke kan få dine e-mails mere. Så selvom du betaler, ville du ikke få dine filer tilbage.
Posteo, den tyske e-mail-udbyder, har suspenderet e-mail-adressen ([email protected]), der bruges af angribere til at kommunikere med ofre for at modtage dekrypteringsnøglerne.
Sådan beskytter du dig mod eventuelle Ransomware-angreb?
- Anvend sikkerhedsopdateringer i MS17-010
- Deaktiver den usikrede SMBv1-fildelingsprotokol på dine Windows-systemer og servere.
- Bloker indgående forbindelser på T Port 445
- Opret og vedligehold gode sikkerhedskopier, så hvis en infektion opstår, kan du gendanne dine data.
- Sørg for, at du kører en god og effektiv antivirus-sikkerhedssuite på dit system.
- Vigtigst af alt skal du altid surfe sikkert på Internettet.
