Net Admin

Какво е рансъмуер NotPetya и как да се защитим от него?

Какво е рансъмуер NotPetya и как да се предпазите от него

Рансъмуерът NotPetya е един от най-известнитекампании за вирусна атакав историята. Системата е използвана за предизвикване на хаос в цели нации, отслабвайки тези страни и правейки ги уязвими за атаки.

Често срещана грешка е етикетирането на рансъмуер NotPetya. Системата никога не е била предназначена да генерира приходи. Няма механизъм за възстановяване на атакувана система, което го прави wiper.

Контролерът на NotPetya беше руското военно разузнаване,ГРУ. Системата е използвана като усъвършенстван механизъм за атака и е активирана срещу Украйна през 2017 г.

Съдържание [ Крия ]

Какво е ransomware?

Ransomware е категория на компютърни вируси . Целта на тази система е да дезактивира компютъра обратимо. След това на жертвата се предлага решение за възстановяване на компютъра до първоначалното му състояние срещу заплащане. Ето как създателите на ransomware печелят.

Основна функция на ransomware е, че хакерът трябва да запази анонимност. Създаването на Биткойн даде възможност на хакерите да изнудват плащания, без да бъдат проследени. Въпреки че вече има много налични криптовалути, биткойнът все още е най-известният и е най-често използваната валута от хакерите на ransomware.

Има няколко действия, които рансъмуерът може да приложи. Това може да бъде заключване на екрана или криптиране на файлове така че да не могат да бъдат достъпни. Тъй като рансъмуерът има за цел да измъкне пари от жертвата, пълното изключване на компютъра не е добра идея, така че системите за заключване на екрана не са толкова често срещани. Рансъмуерът за криптиране може да бъде пригоден така, че компютърът все още работи . Това е важно, защото е по-лесно да получите плащане от хора, които все още са на заразения компютър. Ако потребителят е принуден да премине към друго устройство, поддържането на контакт не е толкова лесно.

Системите за доставка на ransomware могат да се използват за други цели за подобряване на доходност на атаката. Необходима е много работа, за да стартирате работещ рансъмуер пакет. Тези системи изискват поредица от модули, чието разработване или закупуване струва пари. The успеваемост на атаките на рансъмуер е нисък поради системите за киберсигурност и обществената осведоменост за типичните методи за проникване на зловреден софтуер. Следователно може да отнеме много работа само за да се стигне до точката на заразяване на един компютър. Възможността за зареждане на друг зловреден софтуер, докато системата за доставка е активна, помага за възстановяване на разходите.

Създаването на NotPetya

Името NotPetya не е дадено на тази система за атака от нейните създатели. Вместо това, това е име, дадено на вируса от анализатори на киберсигурността. NotPetya се появи за първи път през юни 2017 г. Анализаторите смятат, че разпознават програмата като вариант на рансъмуер система, наречена Petya.

Оригиналната Petya беше пусната на пазара през март 2016 г. и беше усъвършенствана три пъти за краткия си живот. Първо, хакерската група, която създаде и управлява Petya, го предложи за използване от други срещу заплащане в a Ransomware-като-услуга инструментариум. Тази хакерска група се наричаше Janus решения за киберпрестъпления , която беше базирана в Русия. Второ, в края на 2016 г. групата закри Петя, която тогава беше известна като Златното око.

Около началото на 2017 г. ГРУ , руската военна разузнавателна агенция, търсеше инструменти, които да използва в своите „ хибридна война ” планове. Тази военна стратегия използва кибератаки, за да отслаби противника, което го прави по-лесен за победа, преди да пусне каквото и да е военно оборудване. Малка инвестиция в кибератаки струва много по-малко от танкове, оръжия и обучение на персонал.

ГРУ поръча на свързаната с държавата хакерска група, пясъчен червей . С краткото налично време за производство Sandworm реши да открадне кода от някой друг, вместо да разработи своята система. Избра системата Goldeneye, известна още като Petya. Пакетът Petya рансъмуер включва две атаки. Една от тези системи, оригиналната Petya, криптира структурите за управление на файловата система, а не действителните файлове. Този метод е иновативен, когато Петя е създадена за първи път.

Когато системата за атака Sandworm беше пусната за първи път, анализаторите за защита от зловреден софтуер и агенциите за държавна сигурност веднага разпознаха кодът Петя на изтегления вирус. Но тъй като Petya вече беше преминала през четири версии, анализаторите първо помислиха, че това е новоразработено издание на Petya от Janus Cybercrime Solutions.

Анализаторите дадоха име на този вирус, за да го разграничат от известните версии на Petya. Той беше наречен EternalPetya от някои анализатори и ExPetya от други. Kaspersky Labs излезе с името NotPetya, когато проучването му разкри, че тази система не е произведена от Janus Cybercrime Solutions и е различен вирус.

Прилики с Петя

За един анализатор NotPetya е производно на Petya. Рансъмуерът Petya влиза в системата чрез заразен PDF или XLS файл, който съдържа кода на инсталатора. Този файл се доставя като прикачен файл към фишинг имейл.

Петя първо криптира всички файлове на заразеното устройство, които имат разширение, което е в хитлист. Това е гъвкав модул, тъй като списъкът с типове файлове, които ще бъдат атакувани, може лесно да се променя. След като изброените типове файлове на устройството са криптирани, се стартира атака на ниско ниво. Това е основният процес на Petya и той презаписва Главен запис за зареждане (MBR) и след това криптира Главна файлова таблица (MFT) . Криптирането на MFT е това, което прави всички файлове недостъпни. Петя изчаква един час след първоначалната инфекция, преди да задейства атаките на ниско ниво.

Индивидуалното криптиране на файлове, извършено от Миша процес на Петя използва RSA и AES шифри, а криптираният MFT се извършва с Салса20 шифър.

Всички горепосочени дейности са вградени в NotPetya, взети директно от кода на Petya.

Отличителни черти на NotPetya

Най-впечатляващата характеристика на рансъмуера NotPetya е, че той не е рансъмуер. Разработчиците не са имали намерение някога да доставят ключ за декриптиране . Петя генерира нов ключ за криптиране за всяка атака в рамките на процесите на изтеглената ransomware програма. Той едновременно генерира уникален идентификатор за всяка инфекция. Когато жертвата иска да плати, този идентификатор трябва да бъде въведен в уебсайта за плащане и позволява ключът за дешифриране за тази атака да бъде извлечен от база данни. пясъчен червей премахна тази рутина от кода; това означава, че има няма начин за системата NotPetya да достави ключ за дешифриране.

Една разлика от Петя е обвивката или система за доставка, използвана за NotPetya. Това е EternalBlue система, която използва вратичка в операционната система Windows, която включва Блокиране на съобщения на сървъра (SMB) . Този метод на комуникация през локални мрежи и NotPetya използват тази система за разпространение на други компютри. Това е причината някои анализатори да нарекат NotPetya ВечнатаПетя .

Стартирането на NotPetya

Тъй като постоянно прави сектора за зареждане и системата за управление на файлове на компютъра неработещи, NotPetya е „ чистачка ”, а не рансъмуер. След като кампанията за атака на NotPetya започна през юни 2017 г., Janus Cybercrime Solutions предложи да помогне за намирането на стратегия за отстраняване на вируса, като ясно показа, че не носи отговорност. За съжаление, групата публикува главния ключ за Petya, който никой не можа да свърши работа, за да обърне криптирането на NotPetya.

NotPetya се разпространи много бързо през последната седмица на юни 2017 г в цяла Украйна. Целите на вируса включват държавни служби, обществени институции, комунални услуги, супермаркети, фирми и банки. Той дори зарази компютри, следящи радиационните състояния на площадката на разрушения ядрен реактор в Чернобил.

По-голямата част от всички NotPetya атаки, около 80 процента , удари компютри в Украйна. Въпреки това, бизнеси извън Украйна също бяха засегнати, вероятно за да се прикрие истинската цел на вируса. Тези бизнеси включват Роснефт в Русия и датска корабна компания Maersk . Освен това имаше атаки в САЩ, Великобритания, Германия, Франция и Полша. Никъде обаче атаката не беше толкова интензивна, колкото в Украйна.

Системата NotPetya предлага плащане в биткойни на стойност около $300. Той обаче никога не доставя ключ за дешифриране. Освен това имейл адресът, даден за контакт за възстановяване, беше несъществуващ . Следователно NotPetya се маскира като рансъмуер.

Най-добрата защита срещу NotPetya

The SMB експлойт е спряно от Microsoft. Компанията издаде корекция за защитени съществуващи копия на Windows и всички доставки на Windows след откриването на EternalBlue са защитени срещу него. Така че, ако сте закупили компютър с Windows операционна система през 2017 г., не е нужно да се притеснявате за страничното движение на NotPetya.

Рансъмуерът NotPetya вече не циркулира и всяка антивирусна програма, която можете да закупите в наши дни, ще я забележи и блокира веднага щом се опита да се изтегли на вашия компютър. Въпреки че NotPetya вече не е заплаха, неговите комисари и създатели все още работят и все още развиват разрушителни кибервойна инструменти за дестабилизиране на света. някои хакерски групи се поддържат от враждебни правителства и постоянно развиват рансъмуер и друг зловреден софтуер.

От съществено значение е потребителите да бъдат информирани за фишинг имейли и им обяснете да не изтеглят прикачени файлове или да следват връзки в имейли. Също така е необходимо да стартирате мениджър на корекции, мениджър на уязвимости и мениджър на конфигурация, за да поддържате системата си актуална и защитена срещу хакерска дейност.

От само себе си трябва да се разбира, че трябва да въведете сигурни процедури за архивиране на данни и да инсталирате антивирусни системи на вашите крайни точки.

Най-добрите инструменти за защита срещу рансъмуер NotPetya

The настолни компютри и мобилни устройства свързани към вашата мрежа, са основните входни точки за ransomware. Следователно трябва да се уверите, че всяко устройство има инсталирана работеща антивирусна система. Този AV трябва да се справи с всяко събитие, свързано със сигурността, което може да възникне, а не само с онези вируси и рансъмуер системи, които вече са известни. Ето два отлични пакета за сигурност на системата, които трябва да имате предвид.

1. CrowdStrike Falcon Insight (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

CrowdStrike Falcon Insight

CrowdStrike Falcon Insight е координиран пакет от следващо поколение антивирусни услуги и откриване на заплахи. Системата се контролира от базирана в облака система за откриване на заплахи в партньорство с CrowdStrike Falcon Prevent инсталиран на всички крайни точки на мрежата.

Falcon Prevent гарантира, че защитата продължава дори ако устройствата са изключени от мрежата. Централният модул Insight се събира разузнаване на заплахи и търси в отчетите за състоянието, качени от екземплярите на Falcon Prevent.

Системата Falcon може да забележи злонамерен софтуер, като рансъмуера NotPetya, дори ако този вирус никога не е бил срещан никъде преди. Това е така, защото AV търси странно поведение а не конкретни файлове. Централната конзола позволява на системния администратор да настрои автоматизирани отговори към заплахи, като изолиране на устройството от мрежата и изключване на потребителски акаунт.

Получавайки информационни канали за активност от всички крайни точки, системата Falcon може да защити мрежата и да идентифицира вътрешни заплахи и проникване и вируси. Освен това можете да получите 15-дневен безплатен пробен период на Falcon Prevent.

CrowdStrike Falcon Insight Започнете 15-дневен БЕЗПЛАТЕН пробен период

две. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus е предназначен за защита на чувствителни данни и всички файлове с бизнес данни. Това означава, че е перфектна опция за защита срещу ransomware, който има за цел да повреди всички тези файлове. Мерките за поверителност на данните в този пакет са подходящи за компании, които следват PCI DSS , HIPAA , и GDPR стандарти. Системата също така включва услуга за откриване на данни и класификатор на чувствителни данни.

Системата DataSecurity Plus защитава работещите компютри Windows , които всички са цели за злонамерен софтуер като рансъмуер Petya. Това е локален софтуерен пакет, който се инсталира на Windows сървър .

Една от основните характеристики на пакета DataSecurity Plus е a монитор за целостта на файла (FIM). Това улавя неупълномощени промени във файлове, предизвиквайки предупреждения. В допълнение, системата може да бъде настроена да прилага автоматизирани отговори при промяна на всеки файл.

DataSecurity Plus се предлага за a 30-дневен безплатен пробен период .

^