0
Die ersten Dinge zuerst. Wenn Sie mit Windows. Patches für Ihre Systeme! Die neueste Variante von Petya, GoldenEye, angreifen kann, wenn, und nur wenn einer Ihrer Windows-PCs ist immer noch nicht gepatcht wurde mit Microsoft ‘ s March MS17-010. Microsoft dachte das patchen dieser bug war wichtig genug, dass es noch gepatcht ihn auf seine nicht unterstützte Windows-XP-Betriebssystem.
Aber, trotz allem, trotz all der news WannaCry habe es Angriffe, Menschen, die noch nicht gepatcht, alle Ihre Systeme und jetzt kommen wir zum deal mit Petya-infizierten PCs und deren komplett verschlüsselte Festplatten.
Als Maya Horowitz, Check Point threat intelligence group manager, sagte in der Folgezeit WannaCry, “Das ist etwas, das halten geschieht in der Zukunft, wo die Menschen können kopieren und einfügen von malware, kopieren Sie den NSA-code und das ist, was Sie bekommen — weltweite Katastrophe. Mehr und mehr Dinge wie, dass passieren wird.”
Als Rafe Pilling, Senior Security Researcher bei SecureWorks Counter Threat Unit, Hinzugefügt, bevor das Letzte Chaos, “Es ist durchaus üblich für … – Systemen, ältere Versionen von Betriebssystemen, die ungepatchte, alte Anwendungen, shared logins, die Art von Zeug, all das schafft eine Umgebung, die mehr anfällig für diese Art der Sache.”
Und hier sind wir. Glücklichen uns.
Hier ist, wie es funktioniert.
Erste, ein anfälliges system infiziert war, mit Petya. Cisco Talos security-arm glaubt, dass es infiziert seine ersten Opfer durch “software-update-Systeme für Ukrainisch-tax-accounting-Paket namens MeDoc.”
Einmal drinnen, verwendet es EternalBlue, die Sicherheitslücke MS17-07 fixed; Psexec, eine legitime Windows-Administrations-tool; Windows Management Instrumentation (WMI) verteilt sich auf andere Systeme. Da dies geschieht im inneren des trusted local-area-network, selbst-gepatchten Windows-Systemen können Umfallen wie Dominosteine.
EternalBlue ist durchgesickert National Security Agency (NSA) hacker-Werkzeug. Hier wird die längst überholte Windows ” Server Message Block (SMB)-1-networking-Protokoll. SMB-1 ist völlig unsicher und sollte möglichst ausgeschaltet werden, selbst auf gepatchten Systemen.
Psexec ist ein leichtes Windows-eigenen telnet-Programm, das verwendet wird, um das ausführen von Programmen auf entfernten Systemen. Wenn ein Benutzer Administratorrechte hat, es installiert die malware auf andere Systeme über das lokale Netzwerk.
WMI automatisiert administrative Aufgaben auf remote-Computern. Es liefert auch das management der Daten zu anderen management-Programme wie System Center Operations Manager (früher Microsoft Operations Manager (MOM) und der Windows-Remoteverwaltung. WMI führt die gleiche tödliche Befehle wie Psexec-aber es nutzt den aktuellen Benutzer ” user-Namen und Passwörter.
Es scheint, dass die malware-Paket extrahiert diese aus dem Windows Security Account Manager (SAM) – Datenbank, die Benutzernamen und Kennwörter enthält. Um dies zu tun, der Petya-Paket verwendet das Programm LSADump.
Es sind diese letzten beiden, da David Kennedy, TrustedSec CEO twitterte, das es ermöglichte, “Seitliche Bewegung / lsadump war der killer hier – weniger EternalBlue.”
Das ist schlecht. Wie Kaspersky Noten”, Einem infizierten system, auf das Netzwerk besitzen administrative Anmeldeinformationen ist in der Lage, die Verbreitung dieser Infektion auf alle anderen Computer über WMI oder PSEXEC.
Erst nachdem dies erledigt ist, ist der Petya-Nutzlast gepflanzt, auf anfälligen Systemen. Dort angekommen, wartet von 10 bis 60 Minuten und dann starten Sie Ihr system neu.
Dann erscheint ein Bildschirm, der aussieht wie das system Festplatten-check-Programm (CHKDSK) und läuft ein scan.’ Was es tatsächlich tut, ist die Verschlüsselung Ihrer Festplatte (Master File Table, MFT) und ersetzen Sie Ihre Master-Boot-Record (MBR) mit einer angepassten loader, die auch eine Lösegeldforderung.
An diesem Punkt, du bist abgespritzt. Wenn Sie beenden, bevor der fake CHKDSK scan abgeschlossen ist, können Sie in der Lage sein, um Ihre Dateien zu speichern. Sie können jedoch nicht, starten Sie das system neu. Sie müssen reinigen Sie die malware aus allen betroffenen Rechnern, indem Sie Sie von einem USB-oder DVD-Laufwerk und ausführen einer up-to-date anti-virus-Programm. Beachten Sie, dass auf diesem speziellen Liste ein grünes Häkchen, dass die Datei wird nicht erkannt, dass AV-Anbieter.
Wenn deine MFT und Dateien verschlüsselt sind, Sie sind gesperrt bis dicht mit einem Advanced Encryption Standard (AES)-128-Taste. Dieser Schlüssel wiederum verschlüsselt mit dem Angreifer in die öffentlichen RSA-2048-Schlüssel. Das heißt, Sie sind nicht immer Ihre Dateien zurück in das Leben.
Sie haben eine aktuelle Sicherung, richtig? Richtig!?
Neben dem patchen Ihrer Systeme und die Aktualisierung Ihres AV-software, können Sie immunisieren Ihre Systeme zu Petya, indem Sie die Datei C:Windowsperfc.* nur Lesen. Sie können dies tun, indem Sie die Anweisungen auf BleepingComputers. Dies ist eine manuelle Methode und nicht geeignet für Unternehmen, aber es gibt genug Informationen, dass erfahrene Systemadministratoren sollten keine Mühe haben, die die Automatisierung der it.
In der Zwischenzeit, für die Liebe zu Ihrem job, Patches für Ihre Systeme-alle von Ihnen-jetzt. Ansonsten werden Sie schon bald auf eine Arbeitslosenquote Linie. Dies ist einer bösen Fehler und es ist bereits zerstört, mehrere tausend Unternehmen, die Sie nicht wollen, Ihr Unternehmen an die nächste.
Verwandte Geschichten:
Sechs schnelle Fakten zu wissen, über die heutigen globalen ransomware attackA massive cyberattack auf Organisationen rund um die worldRansomware: WannaCry war einfach, das nächste mal könnte viel schlechter sein
0