發生了什麼事?
6月27日,一勒索軟體攻擊浪潮已攻擊超過 65 個國家的數萬台電腦。烏克蘭和俄羅斯受到的打擊最為嚴重。聖戈班或法國國家鐵路公司等某些法國公司也受到了影響,這促使巴黎檢察官辦公室展開調查。根據卡巴斯基,當惡意軟體成功感染電腦時,它會使用 AES 128 和 RSA 2048 演算法加密所有數據,然後修改引導區域(主引導記錄),然後導致電腦重新啟動。然後計算機被完全封鎖。它會顯示一條訊息,提示用戶將等值 300 美元轉移到比特幣地址。
這種攻擊叫什麼?
有幾個名字正在流傳。惡意軟體程式碼片段來自一種名為 Petya 的已知勒索軟體。這就是為什麼一些研究人員稱之為“PetrWraper”,或簡稱為“Petya”。但其他人認為該惡意軟體太過不同,無法與 Petya 聯繫在一起。所以他們合乎邏輯地稱其為“NotPetya”或“NyietPetya”。還有一些人出於無人知曉的原因想出了「GoldenEye」這個名字。在本文的其餘部分中,我們使用術語 NotPetya,它的優點是易於發音。
NotPetya 如何感染受害者?
以想哭,NotPetya 主要針對企業和組織。但與它的前身不同的是,它並沒有在網路上廣泛傳播。根據微軟首次感染發生在烏克蘭:駭客利用會計軟體(MEDoc)的更新程式將惡意程式碼輸入到當地一家公司的網路中。
卡巴斯基發現了另一個感染媒介,即頓內茨克地區烏克蘭城鎮巴赫穆特的網站。駭客操縱主頁,導致下載偽裝成 Windows 更新的可執行檔。駭客可能使用了其他手段,例如發送誘殺電子郵件。但在現階段,現在下結論還為時過早。
https://twitter.com/craiu/status/880011103161524224
NotPetya 如何在電腦網路中傳播?
一旦成功在公司網路內的一台電腦上站穩腳跟,NotPetya 將嘗試在公司內部網路中傳播以捕獲其他電腦。為此,惡意軟體有幾個條件。它整合了該組織發布的從 NSA 竊取的兩個駭客工具影子經紀人,即《永恆之藍》和《永恆的浪漫》。兩者都允許您透過 SBMv1 協定控制機器。他們依賴的是已經修補了幾個月的缺陷。
如果SMB 協定路由不成功,惡意軟體將在電腦上尋找管理員密碼,並在必要時嘗試透過TCP 連接埠139 和445 連接到其他終端。就會在那裡放置一個可執行文件,該執行文件將使用 Microsoft 遠端管理工具(PSEXEC 和 WMIC)進行遠端操作。這種方法的優點是,即使機器擁有所有安全性更新,駭客也可以感染機器。
如果公司的網路與合作夥伴連接,則沒有什麼可以阻止駭客以這種方式感染其他組織。
支付贖金後我們可以恢復資料嗎?
不。解密過程是完全不起作用因為德國主機 Posteo 停用了受害者用來確認支付贖金的唯一電子郵件地址。如果沒有此確認,駭客就無法識別付款人,因此無法發送加密金鑰(如果他們打算這樣做)。
就安全研究員而言馬特·蘇奇認為勒索訊息只是為媒體機器提供誘餌,這次攻擊的真正目的是破壞。根據他的分析,引導區的資料並沒有保存到任何地方,只是簡單地替換成了別的東西。因此,該磁碟無論如何都無法恢復。“Petya 的當前版本已被重寫為擦除器,而不是勒索軟體”,專家強調。
如何保護自己?
現在大多數防毒解決方案都會偵測惡意軟體。為了防止傳播,網路管理員還可以阻止 SMBv1 流量以及 PSEXEC 和 WMIC 管理工具。最後,我們要指出的是,存在一個“ 疫苗 ”由研究員 Amit Serper 發現。在繼續進行資料加密之前,惡意軟體會尋找本機檔案(“perfc”)是否存在。如果它存在,它就會停止其災難性的工作。所以你只要人為地創建這個文件就可以不再被打擾了。
