0
Första saker första. Om du kör Windows. Patch ditt system! Den senaste varianten av Petya, Knipa, kan attackera om, och endast om, är en av dina Windows-Datorer har fortfarande inte lappat med Microsofts Mars MS17-010. Microsoft trodde korrigerar detta fel var viktigt nog att det även lagas den på sin stöds inte i Windows XP som operativsystem.
Men, trots detta, trots alla nyheter WannaCry fick för det övergrepp, människor som fortfarande inte har lappat alla sina system och nu får vi ta itu med Petya-infekterade Datorer och deras helt krypterade hårddiskar.
Som Maya Horowitz, Check Point ‘ s hot intelligence group manager, sade i efterdyningarna av WannaCry, “Det är något som kommer att hålla händer i framtiden där människor kan kopiera och klistra in skadlig kod, kopiera NSA-koden och det är vad du får — världsomfattande katastrof. Mer och mer saker som kommer att hända.”
När Rafe Pilling, Högre Säkerhet Forskare vid SecureWorks Motverka Hot Enhet, till före detta senaste mess, “Det är ganska vanligt för … system för att köra äldre versioner av operativsystem som gå okorrigerad, kör gamla program använder delat inloggningar, den sortens grejer, alla som skapar en miljö som är mer mottagliga för denna typ av sak.”
Och, här är vi. Lyckliga oss.
Här är hur det fungerar.
För det första, ett sårbart system var infekterade med Petya. Cisco Talos säkerhet arm anser att det smittade sitt första offer genom “software update system för en ukrainsk skatt redovisning paket som kallas MeDoc.”
Väl inne, den använder EternalBlue, säkerhetshål MS17-07 fasta; Psexec, en legitim Windows-administration tool, och WMI (Windows Management Instrumentation) för att sprida sig till andra system. Eftersom detta händer inuti betrodda lokalt nätverk, även patchad Windows-system kan falla som dominobrickor.
EternalBlue är en läckt National Security Agency (NSA) hacker verktyg. Detta används sedan länge föråldrade Windows Server Message Block (SMB)-1 nätverksprotokoll. SMB-1 är helt osäker och bör vara avstängd även om lappat system.
Psexec är en lätt Windows-specifik telnet-program, som används för att köra program på en fjärrdator. Om en användare har behörighet som administratör, det kommer att installera skadlig programvara på andra system via det lokala nätverket.
WMI automatiserar administrativa uppgifter på fjärrdatorer. Det levererar också hantering av data till andra program management till exempel System Center Operations Manager, tidigare Microsoft Operations Manager (MOM), och Windows Remote Management. WMI kör samma dödlig kommandon som Psexec men den använder nuvarande användares användarnamn och lösenord.
Det verkar malware paket utvinner dessa från Windows Security Account manager (SAM) databas som innehåller användarnamn och lösenord. För att göra detta, Petya-paketet använder programmet LSADump.
Det är dessa två sista, som David Kennedy, TrustedSec VD, twittrade, som gjorde “i Sidled / lsadump var mördaren här – mindre EternalBlue.”
Detta är dåligt. Som Kaspersky anteckningar, “En enda infekterade system på nätet som har administratörsbehörighet kan sprida denna infektion till alla andra datorer via WMI eller PSEXEC.
Först efter att detta är gjort är Petya nyttolast planterade på sårbara system. Väl där, kommer det att vänta från 10 till 60 minuter och sedan starta om ditt system.
Nästa, en skärm visas som ser ut som system disk check-programmet (CHKDSK) och kör en ” scan.’ Vad det faktiskt gör är att kryptera disken är MFT (Master File Table) och byta ut din Master Boot Record (MBR) med en anpassad lastare, som har en gisslan anteckning.
Vid denna punkt, du är spolas. Om du slutar innan de falska CHKDSK sökningen är klar kan du ha möjlighet att spara dina filer. Du kan dock inte starta om systemet. Du måste rensa malware ut från alla datorer som påverkas genom att starta upp från en USB-eller DVD-enheten och kör ett uppdaterat anti-virus program. Observera att på denna lista gröna bockarna betyder filen är inte upptäcks av att AV säljaren.
Om din MFT och filer är krypterade, de är inlåsta hårt med en Advanced Encryption Standard (AES)-128-tangenten. Denna nyckel, i sin tur, är krypterad med angriparens offentliga RSA 2048-tangenten. Detta innebär att du inte få dina filer tillbaka i detta livet.
Du har en aktuell säkerhetskopia, eller hur? Rätt!?
Förutom att patcha dina system och uppdatera ditt antivirus kan du vaccinera ditt system för att Petya genom att göra filen C:Windowsperfc.* läs bara. Du kan göra detta genom att följa instruktionerna på BleepingComputer. Detta är en manuell metod och inte lämpade för företag, men det ger tillräckligt med information för att erfarna systemadministratörer bör inte ha några problem med att automatisera det.
Under tiden, för att de älskar ditt jobb, patch ditt system — alla av dem — nu. Annars kommer du snart att vara på en arbetslöshet line. Detta är en otäck bugg och det är redan förstört flera tusen företag, behöver du inte vill att ditt företag ska vara nästa.
Relaterade Artiklar:
Sex snabba fakta för att veta om dagens globala ransomware attackA massiv cyberattack är att träffa olika organisationer runt om i worldRansomware: WannaCry var grundläggande, nästa gång kan vara mycket värre
0