Petya Malware Exposes Software Vulnerabilities

Nylig har flere organisasjoner i både Europa og USA blitt brakt takket være et nytt ransomware-angrep som heter" Petya. "Dette er en skadelig programvare som har gått gjennom flere store firmaer, inkludert Mondelez, et matfirma, WPP, en annonsør, Maersk, et dansk logistikkfirma og DLA Piper, et juridisk firma. Alle disse selskapene har opplevd data- og datalåser, og bedt om å betale et løsepris for tilgang.

Dette angrepet er urolig fordi det er det andre store ransomware-angrepet på to måneder, som har påvirket selskaper over hele verden. Du kan huske at i mai ble National Health Service, NHS, i Storbritannia smittet av malware kalt WannaCry. Dette programmet påvirket NHS og en rekke andre organisasjoner over hele verden. WannaCry ble først avslørt for publikum da lekkede dokumenter relatert til NHS ble utgitt på nettet av hackere kjent som Shadow Brokers i april.

WannaCry-programvaren, også kalt WannaCrypt, påvirket over 230 000 datamaskiner, som var lokalisert i mer enn 150 land over hele verden. I tillegg til NHS, Telefonica, et spansk telefonselskap, og statsbaner i Tyskland ble også angrepet.

I likhet med WannaCry, sprekker "Petya" raskt gjennom nettverk som bruker Microsoft Windows. Spørsmålet er imidlertid hva er det? Vi vil også vite hvorfor det skjer og hvordan det kan stoppes.

Hva er Ransomware?

Det første du må forstå er definisjonen av ransomware. I utgangspunktet er ransomware en hvilken som helst type malware som fungerer for å blokkere tilgangen til en datamaskin eller data. Da, når du prøver å få tilgang til datamaskinen eller dataene på den, kan du ikke komme til det med mindre du betaler et løsesum. Ganske ekkel, og rett og slett mener!

Hvordan fungerer Ransomware?

Det er også viktig å forstå hvordan ransomware fungerer. Når en datamaskin er infisert av ransomware, blir den kryptert. Dette betyr at dokumenter på datamaskinen din da er låst, og du kan ikke åpne dem uten å betale løsepenger. For å ytterligere komplisere ting, må løsningen bli betalt i Bitcoin, ikke penger, for en digital nøkkel som du kan bruke til å låse opp filene. Hvis du ikke har en sikkerhetskopi av filene dine, har du to valg: du kan betale løsesummen, som vanligvis er et par hundre dollar til flere tusen dollar, eller du mister tilgangen til alle filene dine.

Hvordan fungerer "Petya" Ransomware?

"Petya" ransomware fungerer som de fleste ransomware. Det tar over en datamaskin, og deretter ber om $ 300 i Bitcoin. Dette er en skadelig programvare som sprer seg raskt over et nettverk eller en organisasjon når en enkelt datamaskin er infisert.Denne spesielle programvaren bruker EternalBlue-sårbarheten, som er en del av Microsoft Windows. Selv om Microsoft nå har gitt ut en oppdatering for sikkerhetsproblemet, har ikke alle installert det. Ransomware er også potensielt spredt via Windows administrative verktøy, som er tilgjengelig hvis det ikke er noe passord på datamaskinen. Hvis skadelig programvare ikke kan komme på en måte, prøver den automatisk en annen, slik den har spredt seg så raskt blant disse organisasjonene.

Således sprer "Petya" mye enklere enn WannaCry, ifølge cybersikkerhetseksperter.

Er det noen måte å beskytte deg mot fra "Petya? "

Du lurer nok på dette punktet om det er noen måte å beskytte deg mot" Petya. "De fleste store antivirusbedrifter har hevdet at de har oppdatert sin programvare for å bidra til ikke bare å oppdage, men for å beskytte mot" Petya "malware infeksjon. For eksempel tilbyr Symantec-programvare beskyttelse mot "Petya", og Kaspersky har oppdatert all programvare for å hjelpe kundene med å beskytte seg mot skadelig programvare. På toppen av dette kan du beskytte deg selv ved å holde Windows oppdatert. Hvis du ikke gjør noe annet, installerer du i det minste den kritiske oppdateringen som Windows utgav i mars, som forsvarer mot denne EternalBlue-sårbarheten. Dette stopper en av de viktigste måtene å bli infisert, og det beskytter også mot fremtidige angrep.

En annen forsvarslinje for "Petya" malware utbrudd er også tilgjengelig, og det har bare blitt nylig oppdaget. Malware kontrollerer C: -stasjonen for en skrivebeskyttet fil som heter perfc. dat. Hvis skadelig programvare finner denne filen, kjører den ikke krypteringen. Men selv om du har denne filen, forhindrer det faktisk ikke malwareinfeksjonen. Det kan fortsatt spre malware til andre datamaskiner på et nettverk, selv om brukeren ikke merker det på datamaskinen.

Hvorfor kalles denne malware "Petya? "

Du lurer kanskje også på hvorfor denne malware heter" Petya. "Faktisk er det ikke teknisk kalt" Petya. "I stedet ser det ut til å dele mye kode med et gammelt stykke ransomware som ble kalt" Petya. "Innen timer etter det første utbruddet konstaterte sikkerhetseksperter at disse to ransomwares ikke var like like som det var første tanke. Så begynte forskere ved Kaspersky Lab å henvise til malware som "NotPetya" (det er originalt!), Så vel som andre navn, inkludert "Petna" og "Pneytna. "I tillegg kalte andre forskere programmet andre navn, inkludert" Goldeneye ", som Bitdefender, fra Romania, begynte å kalle det. Imidlertid hadde "Petya" allerede sittende fast.

Hvor startet "Petya"?

Lurer du på hvor "Petya" startet? Det ser ut til å ha begynt gjennom en oppdateringsmekanisme fra programvare som er bygd inn i et bestemt regnskapsprogram. Disse selskapene jobbet med den ukrainske regjeringen og krevde av regjeringen å bruke dette programmet. Dette er grunnen til at så mange selskaper i Ukraina har blitt påvirket av dette.Organisasjonene inkluderer banker, regjeringen, metro-systemet i Kiev, den store Kiev-flyplassen, og statens kraftverk.

Systemet som overvåker strålingsnivåene ved Tsjernobyl ble også påvirket av ransomware, og ble til slutt tatt offline. Dette tvang ansatte til å bruke manuelle håndholdte enheter for å måle strålingen i ekskluderingssonen. På toppen av dette var det en annen bølge av malwareinfeksjoner som ble oppsto av en kampanje som inneholdt e-postvedlegg, som var fylt med skadelig programvare.

Hvor langt har "Petya" infeksjon spredt?

"Petya" ransomware har spredt seg langt og har forstyrret virksomheten til selskaper i både USA og Europa. For eksempel ble WPP, et reklamebyrå i USA, Saint-Gobain, et byggematerialefirma i Frankrike, og både Rosneft og Evraz, olje- og stålfirmaer i Russland, også berørt. Et Pittsburgh-selskap, Heritage Valley Health Systems, har også blitt rammet av "Petya" malware. Dette selskapet driver sykehus og omsorgsfasiliteter i hele Pittsburgh-området.

I motsetning til WannaCry forsøker "Petya" -programvaren å spre seg raskt gjennom nettverk, men den forsøker ikke å spre seg utenfor nettverket. Dette faktumet alene kan faktisk ha hjulpet potensielle ofre for denne malware, da det har begrenset spredningen av det. Så det ser ut til å være en nedgang i hvor mange nye infeksjoner som har blitt sett.

Hva er motivasjonen for cyberkriminelle som sender ut "Petya? "

Når" Petya "ble opprinnelig oppdaget, ser det ut som at utbruddet av skadelig programvare var rett og slett et forsøk av en cybercriminal for å utnytte lekkede online cyber våpen. Men når sikkerhetsprofessorer så litt nærmere på "Petya" -problemet, sier de at noen mekanismer, som for eksempel betalingen er samlet, er ganske amatørmessig, slik at de ikke tror at alvorlige cyberkriminelle står bak den.

For det første inneholder løseprisnoten som følger med "Petya" -programvaren nøyaktig den samme betalingsadressen for hvert malwareoffer. Dette er rart fordi proffene lager en egendefinert adresse for hvert av sine ofre. For det andre ber programmet at dets ofre skal kommunisere direkte med angriperne via en bestemt e-postadresse, som umiddelbart ble suspendert da det ble oppdaget at e-postadressen ble brukt til "Petya" -ofrene. Dette betyr at selv om en person betaler $ 300 løsesummen, kan de ikke kommunisere med angriperne, og i tillegg kan de ikke få tilgang til dekrypteringsnøkkelen for å låse opp datamaskinen eller dens filer.

Hvem er angriperne, da?

Cyber-sikkerhetseksperter mener ikke at en profesjonell cyberkriminalitet ligger bak "Petya" -programvaren, så hvem er det? Ingen vet på dette tidspunktet, men det er sannsynlig at personen eller personene som slipper den, ville at malware skulle se ut som enkel ransomware, men i stedet er det mye mer destruktive enn vanlig ransomware. En sikkerhetsforsker, Nicolas Weaver, mener at "Petya" er et ondsinnet, ødeleggende og bevisst angrep.En annen forsker, som går ved Grugq, mener at den opprinnelige "Petya" var en del av en kriminell organisasjon for å tjene penger, men denne "Petya" gjør ikke det samme. De er begge enige om at malware var designet for å spre seg raskt og forårsake mye skade.

Som vi nevnte, ble Ukraina slått ganske hardt av "Petya", og landet har pekt fingrene i Russland. Dette er ikke overraskende vurderer Ukraina har skylden Russland for en rekke tidligere cyberangrep også. En av disse cyberattackene skjedde i 2015, og den var rettet mot det ukrainske strømnettet. Det til slutt endte opp med å forlate deler av det vestlige Ukraina uten noen makt. Russland har imidlertid nektet noe engasjement i cyberattacks på Ukraina.

Hva skal du gjøre hvis du tror du er et offer for Ransomware?

Tror du at du kan bli utsatt for et ransomware-angrep? Dette bestemte angrepet infiserer en datamaskin og venter omtrent en time før datamaskinen starter spontant på nytt. Hvis dette skjer, prøv umiddelbart å slå av datamaskinen. Dette kan forhindre at filene på datamaskinen blir kryptert. På det tidspunktet kan du prøve å ta filene ut av maskinen.

Hvis datamaskinen fullfører omstart og et løsepris ikke vises, må du ikke betale det. Husk at e-postadressen som ble brukt til å samle informasjon fra ofrene, og å sende nøkkelen, er stengt. I stedet kobler du PCen fra Internett og nettverket, formaterer harddisken, og bruker deretter en sikkerhetskopi for å installere filene på nytt. Sørg for at du alltid sikkerhetskopierer filene dine regelmessig og alltid oppbevar antivirusprogramvaren din oppdatert.