Novi ransomware napad svetskih razmera

Petya ransomware brzo se širi, među pogođenima banke, aerodromi, vlade!

Novi ransomware napad svetskih razmera

Update 28.06.2017.: Ažurirali smo članak sa novim informacijama koje su u međuvremenu otkrivene

Novi ransomware, koji podseća na varijantu Petya ransomwarea, pogodio je veliki broj organizacija širom sveta. Napadi su prijavljeni u Ukrajini, Rusiji, Velikoj Britaniji, Indiji, Španiji, Francuskoj. Budući da se ipak radi o novom tipu ransomwarea, nazvali su ga NonPetya.

Poruka o ransomwareu je napisana crvenom bojom na crnoj pozadini.

petya rasomware

Nakon što uđe u sistem, ransomware traži od žrtve da pošalje 300 dolara u Bitcoinima na određenu Bitcoin adresu, a zatim da pošalje email sa svojim ID-jem na wowsmith123456@posteo[.]net kako bi dobili svoj (individualni) ključ za dekripciju. U međuvremenu, ovaj email je ukinut, tako da su šanse da dobijete ključ za oporavak fajlova jednake nuli - drugim rečima, nikako ne plaćajte otkupninu.

U poruci, između ostalog, piše: „Ukoliko vidite ovaj tekst, više nemate pristup svojim fajlovima jer su kriptovani. Možda tražite način da vratite fajlove, ali ne gubite vreme. Niko vam ne može vratiti fajlove bez našeg dekriptora.“

Lista do sada poznatih žrtava i zemalja koje su pogođene Petya ransomwareom:

  • Nacionalna banka Ukrajine, državna energetska kompanija i najveći aerodrom u Ukrajini.
  • Rozenko Pavlo, zamenik premijera Ukrajine i drugi članovi vlade.
  • Kancelarija DLA Piper u Madridu, firma koja se bavi pravnim poslovima i posluje globalno. Postoje indicije da se napad dogodio i u kancelariji u Vašingtonu.
  • Britanska firma WPP koja se bavi advertajzingom i PR-om i posluje globalno. Napad se desio na kompaniju MediaCom koja je u vlasništvu WPP-a.

Takođe, na Tviteru su se pojavile slike nekih kompanija pogođenih ransomwareom:

Supermarket u Harkovu, Ukrajina: Petya ransomware Ukrajina

Bankomat u Ukrajini: Bankomat u Ukrajini

Kako se Petya širi?

Slično nedavnom WannaCry napadu, Petya koristi Eternal Blue exploit, to jest MS17-010 ranjivost. Pored toga ovaj ransomware koristi i open source alat Mimikatz da izvuče administratorska prava pristupa iz memorije računara kako bi pomoću njih pristupio drugim računarima u mreži korišćenjem PsExec i WMIC, te ih zarazio. Pored Eternal blue exploita, NonPetya koristi još jedan od NSA alata - Eternal Romance.

Na početku se mislilo da se NonPetya širi emailom, ali je inicijalna infekcija došla preko ažuriranja softvera za finansije jedne od najvećih Ukrajinskih firmi za taj tip softvera, MeDoc (verovatno su hakeri uspeli da upadnu u njihovi sistem i posluže se njihovim softverom za update - ažuriranje kako bi omogućili širenje ransomwarea).

Moguće je da se žrtve inficiraju direktno kroz eksploatisanje CVE-2017-0144 ranjivosti, ako njihov host ima pristum internetu preko TCP porta 445 i nije ažuriran patchevima za MS17-010.

Moguće IP adrese umešane u ovaj sajber napad:

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247
  • 95.141.115.108

Nova verzija Petya ransomwarea

Nova verzija NonPetya ransomwarea je opasnija u odnosu na ranije, jer reboot-uje sistem i sprečava ga da radi. Na početku NonPetya čeka 30-40 minuta pre nego što krene sa kriptovanjem fajlova. Fajlovi koji se kriptuju su .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip. Nakon toga se kriptuje i MBR (Master Boot Record) i onda se računar restartuje.

Takođe, posebno se ističe viralna priroda Petya ransomwarea, tj. njegovo brzo širenje kroz mrežu. Više ljudi je prijavilo da je Petya ransomware zaključao na stotine računara u istoj mreži za nekoliko minuta.

Za prethodne verzije Petya ransomwarea postoje dekriptori, ali u ovom trenutku nije poznato da li se i ova verzija može krekovati. Ranije je autor Petya ransomwarea, haker poznat kao Janus Secretary, nudio kombinaciju Petya i Mischa ransomware varijanti kao RaaS (ransomware-as-a-service).

WannaCry ransomware je zaustavljen "killswitch" mehanizmom, a ova verzija Petya izgleda da nema takvu slabost.

Kako se zaštititi?

Windows korisnici treba da primene sledeće:

  • Ažurirajte, update-ujte (patch-ujte) Windows. Ključno je da instalirate MS17-010 patch.
  • Instalirajte patch KB2871997.
  • Ažurirajte antivirus i pobrinite se da radi.
  • Blokirajte dolazni saobraćaj na TCP Port 445.
  • Obezbedite da se sve šifre za lokalne administratorske naloge na računarima u mreži razlikuju.
  • Napravite rezervnu kopiju podataka (backup) sa računara i servera, sačuvajte sve što vam je važno.
  • Iako nije potvrđeno da se širi preko emaila, upozorite sve koji rade sa računarima da ne klikću na linkove u email porukama od nepoznatih pošiljaoca, niti da otvaraju priloge (attachments) u email porukama od nepoznatih pošiljalaca, posebno ako su u pitanju arhive (.zip, .rar), Word, Excel ili PDF dokumenti, izvršni fajlovi (.com, .exe) ili fajlovi sa .js.