Petya Ransomware Attack: Hvordan og hvem er inficeret; Sådan stoppes det

Et nyt ransomware-angreb, der bruger en ændret version af EternalBlue sårbarhed udnyttet i WannaCry angreb dukkede op på tirsdag og har allerede ramt mere end 2000 pc'er overalt i Spanien, Frankrig, Ukraine, Rusland og andre lande.




Angrebet har primært målrettet virksomheder i disse lande, mens et hospital i Pittsburg, USA også er blevet ramt. Ofrene for angrebet inkluderer bl.a. Central Bank, Railways, Ukrtelecom (Ukraine), Rosnett (Rusland), WPP (UK) og DLA Piper (USA).



Mens det største antal infektioner er fundet i Ukraine, er det næsthøjeste i Rusland, efterfulgt af Polen, Italien og Tyskland. Den bitcoin-konto, der accepterede betalinger, havde gennemført mere end 24 transaktioner, før den blev lukket.



Læs også: Petya Ransomware-hackere mister adgang til e-mail-konti; Ofre venstre strandet.

Selv om angrebet ikke er målrettet mod virksomheder i Indien, målrettede det skibsfarten AP Moller-Maersk, og Jawaharlal Nehru Havn er truet, da virksomheden driver Gateway Terminals i havnen.





Hvordan spreder Petya Ransomware?

Ransomware bruger en lignende udnyttelse, der blev brugt i den store skala WannaCry ransomware-angreb tidligere i denne måned, der målrettede maskiner, der kører på forældede versioner af Windows, med en lille ændring.

Sårbarheden kan udnyttes via en ekstern eksekvering af kode på pc'er kører Windows XP til Windows 2008-systemer.

Ransomware inficerer pc'en og genstarter den ved hjælp af systemværktøjer. Ved genstart krypterer den MFT-tabellen i NTFS-partitioner og overskriver MBR med en tilpasset læsser, der viser løsepunktsmeddelelsen.

Ifølge Kaspersky Labs, “For at fange legitimationsoplysninger til spredning bruger ransomware brugerdefinerede værktøjer, a la Mimikatz. Disse udtrækker legitimationsoplysninger fra lsass.exe-processen. Efter udtrækning overføres legitimationsoplysninger til PsExec-værktøjer eller WMIC til distribution i et netværk. ”





Hvad sker der, når en pc er inficeret?

Når Petya har inficeret en pc, mister brugeren adgang til maskinen, der viser en sort skærm med rød tekst på den, der lyder som følger:

”Hvis du ser denne tekst, er dine filer ikke længere tilgængelige, fordi de er krypteret. Måske er du travlt med at lede efter en måde at gendanne dine filer på, men spilder ikke vores tid. Ingen kan gendanne dine filer uden vores dekrypteringstjeneste. ”

Og der er instruktioner om betaling af $ 300 i Bitcoins og en måde at indtaste dekrypteringsnøglen og hente filerne på.





Hvordan forbliver jeg sikker?

I øjeblikket er der ingen konkret måde at dekryptere de filer, der er holdt som gidsler af Petya-ransomware, da den bruger en solid krypteringsnøgle.

Men sikkerhedswebsted Bleeping Computer mener, at oprettelse af en skrivebeskyttet fil med navnet 'perfc' og placering i Windows-mappen i C-drev kan hjælpe med at stoppe angrebet.

Det er også vigtigt, at folk, der stadig ikke har det, umiddelbart downloader og installerer Microsoft-patch til ældre Windows-operativsystemer, der afslutter sårbarheden, som EternalBlue udnytter. Dette vil hjælpe med at beskytte dem mod et angreb fra en lignende malware-stamme som Petya.

Hvis maskinen genstarter, og du ser denne meddelelse, skal du slukke straks! Dette er krypteringsprocessen. Hvis du ikke tænder, er filer i orden. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27. juni 2017


Mens antallet og størrelsen af ​​ransomware-angreb øges med hver dag, der går, er det foreslået at risikoen for nye infektioner falder markant efter de første timer af angrebet.

Læs også: Ransomware Attacks on the Rise: Her er, hvordan man forbliver sikker.

Og i tilfælde af Petya forudsiger analytikere, at koden viser, at den ikke spredes ud over netværket. Ingen har kunnet finde ud af, hvem der er ansvarlig for dette angreb endnu.

Sikkerhedsforskere har stadig ikke fundet en måde at dekryptere systemer inficeret med Petya ransomware, og da selv hackerne ikke kan kontaktes nu, forbliver alle berørte i øjeblikket.