Ransomware Petya – što trenutačno znamo o njemu?

Ransomware Petya pojavio se nešto više od mjesec dana od izbijanja globalne epidemije WannaCry ucjenjivačkog programa, a proširio se na vrlo sličan način i također vrlo velikom brzinom. Pokušat ćemo na jednom mjestu okupiti sve do sada poznate činjenice o njemu i mogućim načinima na koje se zaštiti od napada.

Petya (drugim imenom Petwrap) koristi istu ranjivost Windowsa kao i WannaCry. Riječ je o propustu u komunikacijskom protokolu SMBv1 koji je pod nazivom EternalBlue procurio iz američke agencije NSA. Microsoft je nakon izbijanja WannaCry krize izdao zakrpe za sve Windowse, od XP-a na ovamo. Sumnja se da Petya iskorištava i propust CVE-2017-0199 u Microsoft Officeu, za koji je službena zakrpa izdana u travnju.

Petya, nakon zaraze, ne šifrira datoteke na računalu redom. Ovaj malware ponovno resetira napadnuto računalo te šifrira MFT datoteku (master file table) te onemogućava rad MBR zapisu (master boot record) što rezultira ograničenim pristupom uređaju. Potom se MBR zapis mijenja zlonamjernim kodom, a korisniku se prikazuje poruka kojom se traži otkupnina (300 dolara u bitcoinima).

Kao potencijalni vektor širenja Petye navodi se maliciozni Word dokument koji korisnici (mahom u velikim korporacijama) dobivaju kao privitak u e-mailu. Kada bilo tko od njih pokrene zaraženu datoteku, Petya iskorištava alate zadužene za udaljeni pristup i mrežnu automatizaciju (Windows Management Instrumentation i PsExec), te one za distribuciju ažuriranja, koristeći administratorske ovlasti, kako bi zarazu proširila na ostala računala u mreži. I nažalost po korisnike, čini to vrlo brzo – zaraza se može proširiti na preko 5.000 računala u manje od 10 minuta. Također, otkriveno je i da je među prvima žrtvom postao popularni ukrajinski računovodstveni servis M.E.Doc, pa je stoga u toj zemlji i zabilježen najveći broj uspješnih napada.

Nekoliko sati nakon izbijanja zaraze zabilježeno je da su hakeri primili uplate od nekoliko tisuća dolara na svoj bitcoin račun. Ubrzo potom njemački operater Posteo blokirao je kontakt e-mail adresu napadača, pa je nakon toga postalo uzaludno uplaćivati otkupninu, jer napadače nije moguće kontaktirati i dobiti dekripcijski ključ.

Petya, za razliku od WannaCrya, nema ugrađen “kill switch”, ili on do sada nije otkriven. Stručnjaci preporučuju administratorima da obavezno, uz nadogradnje sustava, imaju na umu da se širenje Petye može zaustaviti ako se dovoljno brzo reagira. Moguće je, prema nekim informacijama, iz Windows Management Instrumentationa blokirati otvaranje datoteke C:\Windows\perfc.dat. Također, preporuča se i koristiti Microsoft Local Administrator Password Solution kako bi se spriječilo malware da “pokupi” lozinke do ostalih računala u mreži.

Povrh antivirusa, firewalla, te redovitog ažuriranja sustava, za zaštitu od ove vrste napada preporuča se i blokiranje vanjskog pristupa portovima 137, 138, 139 i 445, kao i velika pozornost pri dodjeljivanju administratorskih ovlasti korisnicima.

Izvor: http://www.bug.hr/

Koristimo kolačiće kako bi poboljšali Vaše korisničko iskustvo i funkcionalnost stranice. Više informacija o kolačićima možete pronaći ovdje.

Ključni su za upotrebu Internet stranice i bez istih stranica nema svoju punu funkcionalnost. Nastavkom surfanja i kupovinom neophodni se kolačići smatraju prihvaćenima. Funkcionalni kolačići mogu uključivati kolačiće koji pružaju uslugu koju je korisnik zatražio.

cookies_permission

Za pohranu prihvaćanja kolačića.

Ističe: 1 godina

Vrsta: HTTP

Prikupljaju se anonimno, ne mogu pratiti aktivnosti korisnika na drugim Internet stranicama i služe za praćenje ponašanja korisnika te u svrhu mjerenja ponašanja publike i sastavljanja izvješća za poboljšanja Internet stranice. Ovi kolačići omogućuju prijenos podataka u treće zemlje, uključujući SAD.

cookies_permission_analiza

Za pohranu prihvaćanja analitičkih kolačića.

Ističe: 1 godina

Vrsta: HTTP

sbjs_current

Za pohranu detalja preglednika.

Ističe: Sesija

Vrsta: HTTP

sbjs_current_add

Dodatni metapodaci o izvoru prometa trenutne sesije korisnika.

Ističe: Sesija

Vrsta: HTTP

sbjs_first

Bilježi izvor prometa prvog posjeta korisnika web stranici (npr. izvorni UTM parametri).

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_first_add

Pohranjuje dodatne pojedinosti o izvoru prometa za prvi posjet korisnika.

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_migrations

Prati prijelaze između izvora prometa, primjerice kada korisnik mijenja kampanje ili preporuke.

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_session

Prati podatke o prometu specifične za sesiju, kao što je izvor preporuke za trenutni posjet.

Ističe: Sesija

Vrsta: HTTP

sbjs_udata

Pohranjuje skupne korisničke podatke, kao što je kombinacija izvora prometa kroz posjete.

Ističe: 6 mjeseci

Vrsta: HTTP

Kolačići su male tekstne datoteke koje internetske stranice koriste kako bi unaprijedile korisničko iskustvo.

Zakon dopušta spremanje kolačića na vaš uređaj ako je to izričito potrebno za rad stranice. Za sve ostale vrste kolačića trebamo vašu suglasnost.

Ove stranice koriste različite vrste kolačića. Neke kolačiće postavljaju usluge trećih strana koje se prikazuju na našim stranicama.

Vašu suglasnost za Izjavu o kolačićima na našim internetskim stranicama možete u bilo kojem trenutku promijeniti ili povući.

Više informacija o tome tko smo mi, kako nas možete kontaktirati i kako obrađujemo vaše osobne podatke možete pronaći u našoj Politici privatnosti.

Molimo vas da pri kontaktiranju vezano za vašu suglasnost navedete svoj ID broj suglasnosti i datum isteka iste.