[UPDATE] – Dodatne smjernice za zaštitu
Proces šifriranja pokreće se nakon ponovnog pokretanja računala. U slučaju zaraze, sustav će tražiti restart računala, u tom slučaju ugasite računalo iz napajanja i nemojte ga ponovno pokrenuti jer tada pokreće proces šifriranja.
Preporučuje se blokiranje remote access na WMI, upute za to možete pronaći ovdje. Osim toga, preporuka je blokirati i PSEXEC.EXE tako da se privremeno blokiraju 139 i 445 (TCP) portovi.
Još jednom podsjećamo da se u slučaju zaraze ne preporučuje plaćanje otkupnine, osim što se time financiraju zlonamjerne skupine i daje im se poticaj za dalje napade, nema garancije za dobivanjem ključa za dešifriranje. Osim toga, e-mail adresa wowsmith12345@posteo.net na koju se šalju potvrde o plaćanju blokirana je od strane mail providera.
———————————————————————————————————————————————————–
U tijeku je nova kampanja zlonamjernim ransomware sadržajem te su slučajevi zaraze zabilježeni u Ujedinjenom Kraljevstvu, Rusiji, Indiji, Nizozemskoj, Španjolskoj, Danskoj i drugima. Trenutna su meta računala raznih korporacija, energetskih postrojenja te banaka.
Prema više različitih izvora, nova inačica zlonamjernog ransomware sadržaja nazvanog Petya (negdje Petwrap) munjevito se širi koristeći više Windows ranjivosti. Iako se još ne zna točan izvor širenja zlonamjernog sadržaja, moguće je da Petya koristi EternalBlue ranjivost (ranjivost SMBv1 protokola za koju je izdana zakrpa MS17-010), istu onu koji je koristio i WannaCry u prošloj velikoj kampanji, u kombinaciji s ranjivosti Microsoft Office paketa koja je zakrpana u travnju a odnosi se na oznaku CVE-2017-0199.
Petya je složen zlonamjerni sadržaj koji djeluje veoma različito od ostalih vrsta zlonamjernog ransomware sadržaja te, za razliku od ostalih, ne šifrira podatke na računalu redom i zasebno. Petya, nakon zaraze, ponovno pokreće računalo korisnika te šifrira MFT datoteku (engl. master file table) te onemogućava rad MBR zapisu (engl. master boot record) što rezultira ograničenim pristupom uređaju.
U slučaju uspješno izvedenog napada, Petya će zamijeniti MBR zapis vlastitim zlonamjernim kodom što onemogućava računalu pokretanje. Na samom zaslonu zaraženog računala pokazat će se poruka u kojoj su sadržani podaci za uplati te poruka napadača koju prenosimo u nastavku:
“If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don’t waste your time. Nobody can recover your files without our decryption service.”
Prema riječima sigurnosnim stručnjacima iz tvrtke VirusTotal, samo je 13 od 61 sigurnosnih usluga u mogućnosti otkriti Petya zlonamjerni sadržaj.
Ovaj ransomware zlonamjerni sadržaj kao kontakt podatke koristi adresu elektroničke pošte wowsmith12345@posteo.net i kao naknadu za dešifriranje podataka traži isplatu 300 američkih dolara u Bitcoin valuti.
Točni načini ubrzanog širenja zlonamjernog sadržaja Petya nisu utvrđeni, ali prevladava mišljenje kako je riječ o korištenju SMBv1 EternalBlue ranjivosti na računalima koja nisu izvršila nadogradnju svojeg operacijskog sustava Windows. Potencijalni vektor širenja je i maliciozni Word dokument koji korisnici dobivaju kao privitak u e-mailu.
Zaštititi se možete hitnom nadgradnjom vašeg računala (pogotovo nadgradnje koje se odnosi na EternalBlue – MS17-010) te onemogućavanjem SMBv1 protokola za dijeljenje podataka, kao i primjenom zakrpe CVE-2017-0199.
Preporuka je također da redovito radite sigurnosnu kopiju Vaših podataka te da ju držite odvojenu od računala. Važno je da na uređaju imate instaliran valjan, ažuran i aktivan antivirus te da se prilikom služenja internetom ponašate odgovorno i oprezno. Ne otvarajte privitke u sumnjivim mailovima i po primitku ih izbrišite.
$downloadlink = get_field('download_link'); ?>