0
Første ting første. Hvis du kører Windows. Patch dine systemer! Den seneste variant af Petya, GoldenEye, kan angribe, hvis, og kun hvis en af dine Windows-Pc ‘ er endnu ikke blevet lappet med Microsofts Marts MS17-010. Microsoft troede at lappe fejlen var vigtigt nok til, at det endnu lappet det på sin ikke-understøttet Windows XP-operativsystemet.
Men, på trods af, at på trods af alle de nyheder, WannaCry fik for det overgreb, mennesker stadig ikke har lappet alle deres systemer, og nu får vi at beskæftige sig med Petya-inficerede Pc ‘ er og deres helt krypterede harddiske.
Som Maya Horowitz, Check Point ‘ s threat intelligence group manager, sagde i kølvandet på WannaCry, “Det er noget, der vil holde sker i fremtiden, hvor folk kan kopiere og indsætte malware, kopi NSA-kode, og det er, hvad du får — verdensomspændende katastrofe. Flere og flere ting, som vil ske.”
Som Danny Pilling, Senior Security Researcher på SecureWorks Imødegå Truslen Enhed, der er tilsat før denne seneste rod, “Det er ganske almindeligt, … systemer til at køre ældre versioner af operativsystemer, der går unpatched, køre gamle applikationer, der bruger delt logins, den slags ting, alle, som skaber et miljø, der er mere modtagelige for den slags ting.”
Og, så er vi her. Heldige os.
Her er hvordan det virker.
For det første, er et sårbart system er inficeret med Petya. Cisco ‘ s Talos sikkerhed arm mener, at det er inficeret sine første ofre via “software update systemer til en ukrainsk skat regnskabs-pakke kaldet MeDoc.”
Når du er inde, det bruger EternalBlue, sikkerhed hullet MS17-07 fast; Psexec, en legitim Windows-administration af; og WMI (Windows Management Instrumentation) til at sprede sig til andre systemer. Fordi det der sker inde i tillid til lokalt netværk, selv-lappet Windows-systemer, der kan vælte som dominobrikker.
EternalBlue er en lækket National Security Agency (NSA) hacker værktøj. Dette bruger de lang-forældede Windows Server Message Block (SMB)-1 netværk protokol. SMB-1 er helt usikker og bør være slukket, selv om lappet systemer.
Psexec er en lys-vægt Windows-specifik telnet program, som bruges til at afvikle programmer på eksterne systemer. Hvis en bruger har administratorrettigheder, det vil installere malware på andre systemer over det lokale netværk.
WMI automatiserer administrative opgaver på andre computere. Det leverer også forvaltning af data til andre management-programmer, f.eks System Center Operations Manager, tidligere Microsoft Operations Manager (MOM), og Windows Remote Management. WMI kører den samme fatale kommandoer som Psexec men det bruger de nuværende brugeres brugernavne og adgangskoder.
Det synes malware pakke disse ekstrakter fra Windows’ Sikkerhed Account manager (SAM) database, der indeholder brugernavne og adgangskoder. For at gøre dette, Petya pakke bruger programmet LSADump.
Det er disse to sidste, som David Kennedy, TrustedSec CEO, tweeted, som gjorde, “Lateral bevægelse / lsadump var morderen her – mindre EternalBlue.”
Det er slemt. Som Kaspersky bemærker, “En enkelt inficeret system på nettet, der besidder de administrative legitimationsoplysninger, der er i stand til at sprede denne infektion til alle andre computere via WMI eller PSEXEC.
Kun når dette er gjort, er det Petya nyttelast plantet på sårbare systemer. Når der, vil det vente fra 10 til 60 minutter, og derefter genstarte dit system.
Næste, vises et skærmbillede, der ligner det system disk check-program (CHKDSK) og kører en ” scanning.’ Hvad er det rent faktisk gør, er at kryptere din harddisk ‘ s Master File Table (MFT) og udskiftning af din Master Boot Record (MBR) med en tilpasset loader, som omfatter en løsesum note.
På dette tidspunkt, er du spules. Hvis du stopper, inden den falske CHKDSK scanningen er afsluttet, kan du være i stand til at gemme dine filer. Du kan dog genstarte systemet. Du skal rense malware ud fra alle de berørte computere ved at starte fra en USB-eller DVD-drev og kører en up-to-date anti-virus program. Bemærk, at på denne særlige liste grønt flueben betyder, filen er ikke fundet ved, at AV-leverandør.
Hvis din MFT og filer, der er krypteret, er de låst fast med en Advanced Encryption Standard (AES)-128-tasten. Denne nøgle er krypteret med angriberen offentlige RSA-2048-tasten. Dette betyder, at du ikke kom dine filer tilbage i dette liv.
Du har en aktuel sikkerhedskopi, højre? Right!?
Udover at lappe dine systemer og opdatering af dit AV software, du kan immunisere dine systemer til at Petya ved at gøre filen C:Windowsperfc.* læs alene. Du kan gøre dette ved at følge vejledningen på BleepingComputer. Dette er en manuel metode, og som ikke egner sig til virksomheder, men det giver nok oplysninger til, at erfarne systemadministratorer bør ikke have nogen problemer med at automatisere det.
I mellemtiden, for kærligheden til dit job, patch dine systemer-alle af dem — nu. Ellers vil du snart være på en a-line. Dette er en grim fejl, og det er allerede ødelagt flere tusinde virksomheder, du ikke ønsker din virksomhed skal være den næste.
Relaterede Historier:
Seks hurtige fakta at vide om dagens globale ransomware attackA massive cyberangreb er at ramme organisationer omkring worldRansomware: WannaCry var grundlæggende, næste gang kunne være meget værre
0