0
Eerste dingen eerst. Als je Windows draait. Patch uw systemen! De nieuwste variant van Petya, GoldenEye, kan de aanval als, en alleen als een van uw Windows-Pc ‘ s nog steeds niet is hersteld met Microsoft Maart MS17-010. Microsoft dacht dat het patchen van deze bug was belangrijk genoeg dat het zelfs patches op de niet-ondersteunde besturingssysteem Windows XP.
Maar, ondanks dat, ondanks al het nieuws WannaCry kreeg voor het geweld, mensen nog steeds niet gepatcht al hun systemen en nu krijgen we te maken met Petya-geïnfecteerde Pc ‘ s en hun volledig versleutelde harde schijven.
Als Maya Horowitz, Check Point threat intelligence group manager, zei: in de nasleep van WannaCry, “Dat is iets dat zal blijven gebeuren in de toekomst, waar mensen kunnen kopiëren en plakken van malware, kopieer de NSA code en dat is wat je krijgt — wereldwijde catastrofe. Meer en meer dingen als dat zal gebeuren.”
Als Rafe Pilling, Senior Security Researcher bij SecureWorks Teller Bedreiging Eenheid, toegevoegd voor deze laatste puinhoop, “Het is heel gebruikelijk voor … systemen voor het draaien van oudere versies van besturingssystemen die niet gecorrigeerde, uitgevoerd oude toepassingen maken gebruik van het gedeelde aanmeldingen, dat soort dingen, allemaal van die zorgt voor een omgeving die meer gevoelig zijn voor dit soort dingen.”
En, hier zijn we. Lucky us.
Hier is hoe het werkt.
Ten eerste, een kwetsbaar systeem is geïnfecteerd met Petya. Cisco ‘ s Talos veiligheid arm is van mening dat het besmet de eerste slachtoffers via “software-update-systemen voor een oekraïense fiscale administratie pakket genaamd MeDoc.”
Eenmaal binnen, het maakt gebruik van EternalBlue het gat in de beveiliging MS17-07 vastgesteld; Psexec, een legitieme Windows-beheer gereedschap; en Windows Management Instrumentation (WMI) om zichzelf te verspreiden naar andere systemen. Omdat dit gebeurt in de vertrouwde lan-netwerk, zelfs niet-gepatchte Windows-systemen kunnen vallen als dominostenen.
EternalBlue is een gelekte National Security Agency (NSA) is hacker tool. Deze maakt gebruik van de lange-verouderde Windows Server Message Block (SMB)-1 netwerkprotocol. SMB-1 is volledig onzeker en moeten worden uitgeschakeld, zelfs op gepatchte systemen.
Psexec is een licht-gewicht specifieke Windows-telnet-programma, dat wordt gebruikt voor het uitvoeren van programma ‘ s op externe systemen. Als een gebruiker de juiste rechten heeft, zal de installatie van de malware op andere systemen via het lokale netwerk.
WMI-automatiseert de administratieve taken op externe computers. Het levert ook het beheer van gegevens naar andere management-programma ‘ s zoals System Center Operations Manager, voorheen Microsoft Operations Manager (MOM) en Windows Remote Management. WMI loopt dezelfde fatale opdrachten als Psexec maar het gebruik van de huidige gebruikers van gebruikersnamen en wachtwoorden.
Het lijkt de malware pakket extracten deze via het Windows Security Account Managers (SAM) database met gebruikersnamen en wachtwoorden. Om dit te doen, de Petya pakket maakt gebruik van de programma LSADump.
Het is deze laatste twee, als David Kennedy, TrustedSec CEO, getweet, waardoor een “Laterale beweging / lsadump was de killer hier – in mindere EternalBlue.”
Dit is slecht. Als Kaspersky opmerkingen, “Een enkele geïnfecteerde systeem op het netwerk in het bezit van administratieve referenties is in staat om het verspreiden van deze infectie naar de andere computers via WMI of PSEXEC.
Pas nadat dit is gedaan is de Petya lading geplant op kwetsbare systemen. Eenmaal daar, zal gewacht van 10 tot 60 minuten en start uw systeem.
Vervolgens verschijnt een scherm dat lijkt op het systeem van de schijf controleren-programma (CHKDSK) en loopt een scan.’ Wat het eigenlijk doet is het versleutelen van uw station Master File Table (MFT) en de vervanging van je Master Boot Record (MBR) met een aangepaste lader, die is voorzien van een los geld nota.
Op dit punt, je bent afgespoten. Als u stopt voordat de valse CHKDSK scan is voltooid, kunt u mogelijk uw bestanden opslaan. Het is echter niet mogelijk het systeem opnieuw opstarten. Moet u het reinigen van de malware-out van alle betrokken computers met het opstarten van hen van een USB-of DVD-station en het uitvoeren van een up-to-date anti-virus programma. Merk op dat op deze lijst groen vinkje betekent het bestand wordt niet herkend door dat AV-leverancier.
Als uw MFT en de bestanden worden versleuteld, ze zitten opgesloten strak met een Advanced Encryption Standard (AES)-128-toets. Deze toets, op zijn beurt, wordt gecodeerd met de aanvaller van openbare RSA-2048-toets. Dit betekent dat u niet het krijgen van uw bestanden terug te zijn in dit leven.
U beschikt over een actuele back-up, toch? Toch?!
Naast het patchen van systemen en het bijwerken van uw AV-software, kunt u immuniseren van uw systemen om Petya door het maken van het bestand C:Windowsperfc.* alleen-lezen. U kunt dit doen door het volgen van de instructies op de BleepingComputer. Dit is een handmatige methode en niet geschikt voor ondernemingen, maar het geeft genoeg informatie dat ervaren systeembeheerders moeten geen moeite hebben met het automatiseren.
In de tussentijd, voor de liefde van je baan, patch uw systemen — alle — nu. Anders zul je al snel op een ww-lijn. Dit is een vervelende bug en het is al gesloopt, een paar duizend bedrijven, u niet wilt dat uw bedrijf naar het volgende.
Verwante Artikelen:
Zes snelle feiten om te weten over de huidige mondiale ransomware attackA massale cyberaanval is het raken van organisaties rond de worldRansomware: WannaCry was basic, de volgende keer kan veel erger
0