Infecție pe viu cu Ransomware ☣️ Wanna Cry si masuri de protectie
Cuprins:
- Cum se răspândește Petya Ransomware?
- Ce se întâmplă după ce un computer este infectat?
- Cum să stai în siguranță?
Un nou atac ransomware care utilizează o versiune modificată a vulnerabilității EternalBlue exploatată în atacurile WannaCry a apărut marți și a lovit deja peste 2000 de computere din întreaga lume în Spania, Franța, Ucraina, Rusia și alte țări.
Atacul a vizat în primul rând întreprinderile din aceste țări, în timp ce un spital din Pittsburg, SUA a fost lovit. Victimele atacului includ Banca Centrală, Căile Ferate, Ukrtelecom (Ucraina), Rosnett (Rusia), WPP (Marea Britanie) și DLA Piper (SUA), printre altele.
În timp ce cel mai mare număr de infecții au fost găsite în Ucraina, a doua cea mai mare în Rusia, urmată de Polonia, Italia și Germania. Contul bitcoin care a acceptat plăți a finalizat mai mult de 24 de tranzacții înainte de a fi închis.
Deși atacul nu este orientat către întreprinderile din India, acesta a vizat gigantul de transport maritim AP Moller-Maersk, iar portul Jawaharlal Nehru este sub amenințare, deoarece compania operează terminalele Gateway în port.
Cum se răspândește Petya Ransomware?
Ransomware-ul folosește un exploat similar utilizat în atacurile de ransomware WannaCry pe scară largă la începutul acestei luni, care a vizat mașinile care rulează pe versiuni învechite ale Windows, cu o mică modificare.
Vulnerabilitatea poate fi exploatată printr-o execuție de cod la distanță pe PC-urile care rulează sistemele Windows XP către Windows 2008.
Ransomware-ul infectează computerul și îl repornește folosind instrumentele de sistem. La repornire, criptează tabelul MFT în partiții NTFS și suprascrie MBR cu un încărcător personalizat care afișează nota de răscumpărare.
Potrivit Kaspersky Labs, „Pentru a capta datele de acreditare pentru răspândire, ransomware-ul folosește instrumente personalizate, a la Mimikatz. Aceste extrag acreditări din procesul lsass.exe. După extragere, datele de acreditare sunt transmise instrumentelor PsExec sau WMIC pentru distribuirea în interiorul unei rețele."
Ce se întâmplă după ce un computer este infectat?
După ce Petya infectează un computer, utilizatorul pierde accesul la mașină, care afișează un ecran negru cu text roșu pe acesta, care scrie astfel:
„Dacă vedeți acest text, atunci fișierele dvs. nu mai sunt accesibile deoarece au fost criptate. Poate că sunteți ocupat în căutarea unei modalități de recuperare a fișierelor dvs., dar nu pierdeți timpul nostru. Nimeni nu vă poate recupera fișierele fără serviciul nostru de decriptare. ”
Și există instrucțiuni cu privire la plata de 300 USD în Bitcoins și o modalitate de a introduce cheia de decriptare și de a prelua fișierele.
Cum să stai în siguranță?
În prezent, nu există o modalitate concretă de a decripta fișierele deținute de ransomware-ul Petya, deoarece folosește o cheie solidă de criptare.
Însă site-ul de securitate Bleeping Computer consideră că crearea unui fișier de numai citire numit „perfc” și plasarea lui în folderul Windows în unitatea C poate ajuta la oprirea atacului.
De asemenea, este important ca oamenii, care încă nu au, să descarce și să instaleze imediat patch-ul Microsoft pentru sisteme de operare Windows mai vechi care încetează vulnerabilitatea exploatată de EternalBlue. Acest lucru va ajuta la protejarea acestora împotriva atacului unei tulpini malware similare precum Petya.
Dacă mașina repornește și vedeți acest mesaj, opriți imediat! Acesta este procesul de criptare. Dacă nu porniți, fișierele sunt în regulă. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27 iunie 2017
În timp ce numărul și amploarea atacurilor ransomware crește cu fiecare zi care trece, se sugerează că riscul de noi infecții scade considerabil după primele ore de atac.
Citește și: Atacuri Ransomware în creștere: Iată Cum să fii în siguranță.Și în cazul Petya, analiștii prognozează că codul arată că nu se va răspândi dincolo de rețea. Nimeni nu a reușit să stabilească cine este responsabil pentru acest atac.
Cercetătorii de securitate încă nu au găsit o modalitate de a decripta sistemele infectate de ransomware-ul Petya și, deși chiar și hackerii nu pot fi contactați acum, toți cei afectați vor rămâne așa, deocamdată.
Cuvantul de pe strada este ca AT & T in final se pregateste sa adauge un nou opțiunea de tarifare pentru iPhone 3G care nu necesită angajarea la un plan de date de doi ani sau activarea pe site. Dar oferta (așa cum sa subliniat într-o prezentare pe care se presupune că a scapat-o pe "Boy Genius Report") este atât de scumpă - 599 dolari pentru modelul de 8GB și 699 dolari pentru modelul de 16 GB - și încărcată cu restricții că este greu să vezi cine ar beneficia de care se presupune că
Pentru începători, prețul fără contract va fi disponibil numai clienților AT & T existenți - și nu există niciun indiciu că telefonul ar fi deblocat, astfel încât să îl puteți utiliza pe cineva altceva. De asemenea, majoritatea oamenilor vor dori un plan de date, deci problema devine cât de mult economisiți dacă doriți să renunțați devreme la un angajament.
Furnizorul de securitate Ferrets out Cine este un om și cine este un Bot
Compania de securitate Pramana a venit cu tehnologia spune că poate bloca programe automate responsabile pentru a perpetua daune cum ar fi spamul
Ransomware Petya: un atac finanțat de stat sau nu
Experții în securitate sunt de părere că atacul de ransomware Petya care a infectat câteva mii de sisteme ar putea fi un atac al statelor naționale, nu un ransomware.