0
Prima le cose. Se si sta eseguendo Windows. La Patch dei sistemi di! La variante più recente del Petya, GoldenEye, può attaccare se, e solo se, un Pc Windows non è ancora stato aggiornato con Microsoft Marzo MS17-010. Microsoft pensiero patch questo problema è stato abbastanza importante che è anche patchato il suo non supportato sistema operativo Windows XP.
Ma, nonostante che, nonostante tutte le notizie WannaCry ottenuto per gli assalti, la gente ancora non patchato tutti i sistemi e ora si arriva a trattare con Petya Pc infetti e loro completamente crittografato hard disk.
Come Maya Horowitz, Check Point threat intelligence group manager, ha detto all’indomani della WannaCry, “Che qualcosa che continuano a succedere nel futuro in cui le persone possono copiare e incollare il malware, copia il NSA codice e questo è quello che si ottiene-catastrofe globale. Più e più cose del genere accadrà.”
Come Rafe Pilling, Senior Security Researcher presso SecureWorks Contatore Minaccia Unità, ha aggiunto prima di quest’ultima pasticcio, “È abbastanza comune per … sistemi per eseguire le vecchie versioni di sistemi operativi che vanno senza patch, eseguire vecchie applicazioni, uso condiviso di login, questo genere di cose, che crea un ambiente che è più suscettibile a questo tipo di cose”.
E, qui siamo. Fortunato di noi.
Ecco come funziona.
Prima, un sistema vulnerabile è stato infettato con Petya. Cisco Talos di sicurezza braccio crede, ha infettato le prime vittime attraverso “aggiornamento software sistemi per un ucraino fiscali pacchetto chiamato MeDoc.”
Una volta dentro, si utilizza EternalBlue, il buco di sicurezza MS17-07 fisso; Psexec, un legittimo di Windows strumento di amministrazione; e di Strumentazione Gestione Windows (WMI) di diffondersi ad altri sistemi. Perché questo accade all’interno attendibili rete locale, anche di patch di Windows sistemi possono cadere come domino.
EternalBlue è trapelato National Security Agency (NSA) strumento per gli hacker. Questo utilizza la lunga antiquato di Windows Server Message Block (SMB)-1 protocollo di rete. SMB-1 è completamente insicuro e deve essere spento anche patchato sistemi.
Psexec è una luce-peso specifico di Windows programma telnet, che viene utilizzato per eseguire programmi su sistemi remoti. Se un utente ha privilegi di amministratore per installare il malware su altri sistemi sulla rete locale.
WMI consente di automatizzare le attività amministrative sul computer remoto. Esso fornisce anche la gestione dei dati di altri programmi di gestione come System Center Operations Manager, ex Microsoft Operations Manager (MOM), e la Gestione Remota di Windows. WMI viene eseguito lo stesso fatale comandi come Psexec, ma usa gli attuali utenti’ di nomi utente e password.
Sembra che il malware pacchetto di estratti di questi da Windows Security Account Manager (SAM), una banca dati che contiene i nomi utente e le password. Per fare questo, il Petya pacchetto utilizza il programma LSADump.
E ‘ di questi ultimi due, come David Kennedy, TrustedSec CEO di twitter, che ha permesso di “movimento Laterale / lsadump era il killer qui – minore EternalBlue.”
Questo è un male. Come Kaspersky note”, Un singolo sistema infetto in rete in possesso di credenziali amministrative è in grado di diffondere l’infezione ad altri computer tramite WMI o PSEXEC.
Solo dopo aver fatto questo è il Petya payload piantato nei sistemi vulnerabili. Una volta lì, si dovrà attendere da 10 a 60 minuti e poi riavvia il sistema.
A quel punto, viene visualizzata una schermata che appare come disco di sistema del programma di controllo (CHKDSK) e si esegue una scansione.’ Che cosa è effettivamente facendo è la crittografia dell’unità Master File Table (MFT) e sostituire il Master Boot Record (MBR) con un loader personalizzato, che comprende una nota di riscatto.
A questo punto, sei lavata. Se si interrompe prima che il falso CHKDSK scansione è completata, si può essere in grado di salvare i file. Tuttavia, non è possibile riavviare il sistema. È necessario pulire il malware da tutti i computer interessati dal loro avvio da USB o DVD e l’esecuzione di un up-to-date programma anti-virus. Nota che in questa particolare lista segno di spunta verde significa che il file non rilevato da che AV venditore.
Se il MFT e i file sono criptati, sono bloccati fino stretto con un Advanced Encryption Standard (AES)-128 chiave. Questa chiave, a sua volta, viene crittografato con l’attaccante pubblica RSA-2048 chiave. Questo significa che non stai ricevendo il vostro file di nuovo in questa vita.
Si dispone di un backup corrente, giusto? Giusto!?
Oltre a patch ai sistemi e l’aggiornamento del software AV, è possibile vaccinare i vostri sistemi Petya, rendendo il file C:Windowsperfc.* di sola lettura. È possibile effettuare questa operazione seguendo le istruzioni sul BleepingComputer. Questo è un metodo manuale e non adatto per le imprese, ma che dà abbastanza informazioni che ha sperimentato gli amministratori di sistema dovrebbero avere problemi di automazione.
Nel frattempo, per l’amore del vostro lavoro, la patch di sistemi — tutte — ora. Altrimenti ti presto una linea di disoccupazione. Questo è un brutto bug ed è già naufragata diverse migliaia di imprese, non si desidera che la vostra azienda per essere il prossimo.
Storie Correlate:
Sei rapido fatti conoscere globale di oggi ransomware attackA massiccio attacco è di colpire le organizzazioni di tutto il worldRansomware: WannaCry era di base, la prossima volta potrebbe essere molto peggio
0