Atac global Petya ransomware

Atac global Petya ransomware

Ieri am asistat la un atac global al malware-ului ransomware Petya / NonPetya / GoldenEye.

Ca și în campania WannaCry, Petya utilizează vulnerabilitatea SMB v1 (EternalBlue) patch-uri cu actualizarea din martie a Microsoft MS17-010. Spre deosebire de predecesorul său, Petya utilizează, de asemenea, instrumentele Microsoft Psexec, WMIC pentru a propaga codul rău intenționat, inclusiv în sistemele de operare Microsoft actualizate complet.

Spre deosebire de cele mai multe ransomware, Petya criptează tabelul sistemului de fișiere NTFS, care conţine informații complete despre calea și formatul fiecărui fișier pe partiția, de asemenea, înlocuiește rubrica MBR (Master Boot Record), înlocuindu-l cu o notă de răscumpărare, prevenind astfel bootarea corectă a sistemului.

Software-ul rău intenționat începe cu întârziere de aproximativ 40 de minute, iar infecția se face în două etape. Primul MBR înlocuiește și forțează stația să repornească automat, iar al doilea efectuează criptarea corectă în timp ce utilizatorului este afişat următorul mesaj:

Dacă vedeți acest ecran, vă recomandăm să opriți dispozitivul înainte ca procesul CHKDSK să se încheie, ignorând mesaje false de avertizare care sunt programe rău intenționate. Dacă dezactivați computerul în timp, veți preveni criptarea, iar pentru recuperarea fișierelor vă recomandăm să utilizați instrumente liveCD care vă protejează de pierderea datelor.

Pentru a îmbunătăți securitatea posturilor pentru această amenințare, și viitoare, vă recomandăm:

• Instalați cele mai recente actualizări de sistem, inclusiv patch-urile de la Microsoft MS17-010. Dacă nu putem actualiza, vă recomandăm să dezactivați suportul SMBv1.
• Regulat sa faceti copiile de rezervă a datelor.