Android

Petya ransomware tấn công: làm thế nào và ai bị nhiễm bệnh; làm thế nào để ngăn chặn nó

Sophos Intercept X vs. Petya/Petna/PetrWrap Ransomware

Sophos Intercept X vs. Petya/Petna/PetrWrap Ransomware

Mục lục:

Anonim

Một cuộc tấn công ransomware mới sử dụng phiên bản sửa đổi của lỗ hổng EternalBlue được khai thác trong các cuộc tấn công WannaCry đã xuất hiện vào thứ ba và đã tấn công hơn 2000 PC trên toàn thế giới ở Tây Ban Nha, Pháp, Ukraine, Nga và các quốc gia khác.

Cuộc tấn công chủ yếu nhắm vào các doanh nghiệp ở các quốc gia này trong khi một bệnh viện ở vùngburgburg, Hoa Kỳ cũng bị tấn công. Các nạn nhân của vụ tấn công bao gồm Ngân hàng Trung ương, Đường sắt, Ukrtelecom (Ukraine), Rosnett (Nga), WPP (Anh) và DLA Piper (Hoa Kỳ), trong số những người khác.

Trong khi số ca nhiễm bệnh cao nhất đã được tìm thấy ở Ukraine, cao thứ hai ở Nga, tiếp theo là Ba Lan, Ý và Đức. Tài khoản bitcoin chấp nhận thanh toán đã hoàn thành hơn 24 giao dịch trước khi nó bị đóng cửa.

Cũng đọc: Tin tặc Petya Ransomware Mất quyền truy cập vào tài khoản email; Nạn nhân bị mắc kẹt.

Mặc dù cuộc tấn công không nhắm vào các doanh nghiệp ở Ấn Độ, nhưng nó đã nhắm mục tiêu vận chuyển khổng lồ AP Moller-Maersk và Cảng Jawaharlal Nehru đang bị đe dọa khi công ty vận hành Thiết bị đầu cuối Gateway tại cảng.

Petya Ransomware lây lan như thế nào?

Các ransomware sử dụng một khai thác tương tự được sử dụng trong các cuộc tấn công ransomware WannaCry quy mô lớn hồi đầu tháng này nhằm vào các máy chạy trên các phiên bản Windows lỗi thời, với một chút sửa đổi.

Lỗ hổng có thể được khai thác thông qua thực thi mã từ xa trên PC chạy hệ thống Windows XP sang Windows 2008.

Các ransomware lây nhiễm PC và khởi động lại nó bằng các công cụ hệ thống. Khi khởi động lại, nó mã hóa bảng MFT trong phân vùng NTFS và ghi đè MBR bằng trình tải tùy chỉnh hiển thị ghi chú tiền chuộc.

Theo Kaspersky Labs, để nắm bắt thông tin đăng nhập để phát tán, phần mềm ransomware sử dụng công cụ tùy chỉnh, la Mimikatz. Những thông tin trích xuất từ ​​quá trình lsass.exe. Sau khi trích xuất, thông tin đăng nhập được chuyển đến các công cụ PsExec hoặc WMIC để phân phối trong mạng.

Điều gì xảy ra sau khi PC bị nhiễm bệnh?

Sau khi Petya lây nhiễm PC, người dùng sẽ mất quyền truy cập vào máy hiển thị màn hình màu đen với dòng chữ màu đỏ trên đó có nội dung như sau:

Nếu bạn thấy văn bản này, thì các tệp của bạn không còn truy cập được vì chúng đã được mã hóa. Có lẽ bạn đang bận tìm cách khôi phục các tệp của mình, nhưng đừng lãng phí thời gian của chúng tôi. Không ai có thể khôi phục các tệp của bạn mà không có dịch vụ giải mã của chúng tôi.

Và có các hướng dẫn liên quan đến việc thanh toán 300 đô la Bitcoin và cách nhập khóa giải mã và truy xuất các tệp.

Làm thế nào để giữ an toàn?

Hiện tại, không có cách cụ thể nào để giải mã các tập tin bị giữ bởi con ransomware Petya vì nó sử dụng khóa mã hóa vững chắc.

Nhưng trang web bảo mật Bleeping Computer tin rằng việc tạo một tệp chỉ đọc có tên 'perfc' và đặt nó vào thư mục Windows trong ổ C có thể giúp ngăn chặn cuộc tấn công.

Một điều cũng quan trọng là mọi người, những người vẫn chưa có, ngay lập tức tải xuống và cài đặt bản vá Microsoft cho các hệ điều hành Windows cũ hơn chấm dứt lỗ hổng được khai thác bởi EternalBlue. Điều này sẽ giúp bảo vệ họ trước một cuộc tấn công của một chủng phần mềm độc hại tương tự như Petya.

Nếu máy khởi động lại và bạn thấy thông báo này, hãy tắt nguồn ngay lập tức! Đây là quá trình mã hóa. Nếu bạn không bật nguồn, các tập tin vẫn ổn. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) ngày 27 tháng 6 năm 2017

Mặc dù số lượng và mức độ của các cuộc tấn công ransomware đang tăng lên mỗi ngày trôi qua, nhưng có ý kiến ​​cho rằng nguy cơ nhiễm trùng mới giảm đáng kể sau vài giờ đầu tiên của cuộc tấn công.

Cũng đọc: Tấn công Ransomware khi tăng: Đây là cách giữ an toàn.

Và trong trường hợp của Petya, các nhà phân tích dự đoán rằng mã cho thấy nó sẽ không lan rộng ra ngoài mạng. Không ai có thể nhận ra ai chịu trách nhiệm cho cuộc tấn công này.

Các nhà nghiên cứu bảo mật vẫn chưa tìm ra cách giải mã các hệ thống bị nhiễm bởi ransomware Petya và vì ngay cả các tin tặc cũng không thể liên lạc được với nhau, mọi người bị ảnh hưởng sẽ vẫn như vậy cho đến thời điểm hiện tại.

Quản lý bệnh tiểu đường với bệnh tiểu đường Đăng nhập Palm OS Đăng nhập tiểu đường cho Palm OS giúp bệnh nhân tiểu đường phụ thuộc insulin theo dõi và kiểm soát lượng đường trong máu, carbohydrate và Nếu bạn hoặc người nào đó trong gia đình bạn mắc bệnh tiểu đường phụ thuộc insulin, thì bạn biết mức độ quan trọng của lượng đường trong máu, carbohydrates ăn, lượng tập thể dục và lượng insulin bạn lấy. Calorie King Diabetes Log cho các thiết bị Palm OS (15 đô la, 7 ngày dùng thử miễn phí) là một c

Quản lý bệnh tiểu đường với bệnh tiểu đường Đăng nhập Palm OS Đăng nhập tiểu đường cho Palm OS giúp bệnh nhân tiểu đường phụ thuộc insulin theo dõi và kiểm soát lượng đường trong máu, carbohydrate và Nếu bạn hoặc người nào đó trong gia đình bạn mắc bệnh tiểu đường phụ thuộc insulin, thì bạn biết mức độ quan trọng của lượng đường trong máu, carbohydrates ăn, lượng tập thể dục và lượng insulin bạn lấy. Calorie King Diabetes Log cho các thiết bị Palm OS (15 đô la, 7 ngày dùng thử miễn phí) là một c

CalorieKing Diabetes Log for Palm là một tạp chí về insulin các bệnh nhân tiểu đường độc lập giúp họ kiểm soát lượng đường trong máu của họ bằng cách theo dõi carbs, tập thể dục, và lượng đường trong máu - và đưa ra các gợi ý về liều insulin thích hợp.

Lỗ hổng trong SSL hoặc Lớp cổng bảo mật được sử dụng để bảo vệ lưu lượng truy cập web cho ngân hàng trực tuyến, mua sắm và bất kỳ kết nối https nào khác, cho phép kẻ tấn công đột nhập vào bất kỳ kết nối an toàn về mặt lý thuyết nào và thêm các lệnh độc hại. truy cập lưu lượng mạng cụ thể giữa một máy khách, chẳng hạn như trình duyệt Web, và Web hoặc máy chủ khác. Điều đó có nghĩa là hầu hết người dùng gia đình có thể sẽ không được nhắm mục tiêu cụ thể bởi một trong những cuộc tấn công trung gian

Lỗ hổng trong SSL hoặc Lớp cổng bảo mật được sử dụng để bảo vệ lưu lượng truy cập web cho ngân hàng trực tuyến, mua sắm và bất kỳ kết nối https nào khác, cho phép kẻ tấn công đột nhập vào bất kỳ kết nối an toàn về mặt lý thuyết nào và thêm các lệnh độc hại. truy cập lưu lượng mạng cụ thể giữa một máy khách, chẳng hạn như trình duyệt Web, và Web hoặc máy chủ khác. Điều đó có nghĩa là hầu hết người dùng gia đình có thể sẽ không được nhắm mục tiêu cụ thể bởi một trong những cuộc tấn công trung gian

Tuy nhiên, các doanh nghiệp và tổ chức có thể nhắm mục tiêu. Per Ray, bất kỳ lưu lượng truy cập SSL được bảo vệ nào cũng có thể dễ bị tổn thương, cho dù đó là trang https, bảo mật cơ sở dữ liệu hoặc kết nối e-mail bảo mật. Vấn đề không cho phép giải mã và ăn cắp dữ liệu mã hóa SSL hoàn toàn, mà thay vào đó cho phép chèn bất kỳ lệnh nào vào luồng truyền thông.

Các công ty nhỏ có nguồn lực hạn chế về CNTT, và không thể chống lại mọi sự tấn công hoặc tấn công có thể xảy ra. Làm thế nào để bạn biết những gì để ưu tiên? Bắt đầu với 20 báo cáo Kiểm soát An ninh Nghiêm trọng, được viết bởi Trung tâm An ninh Internet (CIS), Viện SANS và Cơ quan An ninh Quốc gia (NSA).

Các công ty nhỏ có nguồn lực hạn chế về CNTT, và không thể chống lại mọi sự tấn công hoặc tấn công có thể xảy ra. Làm thế nào để bạn biết những gì để ưu tiên? Bắt đầu với 20 báo cáo Kiểm soát An ninh Nghiêm trọng, được viết bởi Trung tâm An ninh Internet (CIS), Viện SANS và Cơ quan An ninh Quốc gia (NSA).

Phát biểu gần đây tại hội nghị an ninh RSA, Philippe Courtot, chủ tịch và CEO của Qualys, cảnh báo chống lại việc tuân thủ sai lầm về an ninh. Ông nhấn mạnh rằng an ninh nên tạo điều kiện thay vì cản trở mục tiêu kinh doanh, đặt tên cho báo cáo như là một điểm khởi đầu có giá trị.