0
Den senaste Petya ransomware har beskrivits vara mer ond än sin föregångare, men dess effekter i Singapore till stor del fortfarande är osäker för nu eftersom det inte har förekommit några rapporter om större störningar.
Singapore Computer Emergency Response Team (SingCERT) utfärdat ett rådgivande onsdag varning lokala företag och användare som Petya, men inspirerad av WannaCry, var “farligare och inkräktande”.
“Sitt beteende är att kryptera Master File Träd (MFT) tabeller för NTFS-partitioner och åsidosätter MBR (Master Boot Record) med en egen boot-loader för att visa en gisslan anteckning och hindrar offren från att starta upp,” SingCERT sagt.
I ett nötskal, Petya inte bara krypterar riktade filer, utan låser också upp hela hårddisken med hjälp av några av de mest avancerade kryptografiska algoritmer för att få kontroll över master starta sektorn, men Det stannar datorn från lastning OS, som gör den obrukbar. Det kallas också PetrWrap och är en variant av Petya familj.
Mike Sentonas, CrowdStrike vice vd för it-strategi, förklarade att PetrWrap var “anmärkningsvärt”, eftersom det kombinerade traditionella ransomware beteende med smygande förökning tekniker.
“PetrWrap har förmågan att röra sig i sidled för att kryptera andra system i organisationen genom att utnyttja samma EternalBlue sårbarhet som var populär genom att WannaCry förra månaden,” Sentonas sagt. “Det använder sedan en annan förökning teknik som börjar med att stjäla inloggningsuppgifter, så använder de legitima referenser för att infektera andra datorer i nätverket via inbyggd Microsoft-verktyg–WMI och PSEXEC–även om en maskin har lappat.”
SingCERT tillade att ransomware som sprids via e-post förklätt i Microsoft Office-dokument, som skulle köra Petya installer när den öppnas och köra SMB-mask. Det sade olika versioner av Microsoft Windows var tänkt att vara utsatta ingår Windows 10, Windows 8.1 och Windows Server 2016.
SingCERT s rådgivande upprepat om skydd av personuppgifter och it-leverantörer, inklusive Acronis som sagt banker, multinationella företag, och kritisk infrastruktur ägare i Singapore skulle vara primära mål av ransomware. När vi frågade, men det sa att det var ovetande om att en lokal organisation som hade drabbats av Petya.
Eugene Aseev, Acronis ” chef för forskning och utveckling i Singapore, förklarade: “Petya ransomware är farligare än Wannacry främst på grund av att det smittar till lappat-up-system, medan WannaCry riktade icke-korrigerad system.
“Petya också påverkar MBR, vilket innebär att datorn är angripen redan innan Windows laddas. Det är även ett försök att stjäla användarens autentiseringsuppgifter från den infekterade maskiner och använder dessa uppgifter för att ytterligare infektera andra maskiner som har liknande referenser,” Aseev sagt.
Han sade att företag påverkas av ransomware skulle kunna återställa sina system om de hade en bild-level backup, men skulle behöva installera deras Operativsystem om de bara hade fil-level backup för att hämta sina filer. Och eftersom de skulle förlora sina konfiguration och inställningar, deras återhämtning tid skulle bli längre, tillade han.
Sentonas sade att det för närvarande fanns ingen mekanism för att dekryptera filer som hade krypterats av ransomware. “Om en slutpunkt är krypterad, det enda rätta just nu är att torka av och bygga maskinen och återställa data på enheten”, sade han.
Aamir Lakhani, Fortinet, högre säkerhet strateg, sa att det också skulle inleda en omstart på en en-timmes cykel, som lagt till en denial-of-service (DoS) element till attack. Och medan WannaCry var inte särskilt framgångsrik i att skapa en ekonomisk utdelning för hackare, delvis på grund av att kill-switch som skapats för det, Lakhani noteras att Petya är nyttolasten skulle vara “mer sofistikerade”. Han tillade dock att det fortfarande var för tidigt att säga om det skulle vara mer ekonomiskt lönsam än WannaCry.
Enligt Ryan Flores, Trend Micro ‘ s Asia-Pacific chef för framåtblickande hot forskning, vissa US$7,500 hade betalt i Bitcoin-adress som används av angripare.
Flores uppmanas de drabbade inte att punga ut lösen, och lägger till att flera organisationer i Europa och Asien hade drabbats av ransomware.
Produktionen på Cadbury ‘ s berömda chocolate factory i Tasmanien, Australien, tvingades att sluta sent på tisdagen efter att bolaget drabbades av Petya. Webbplatsen ägs av spansk mat operatör, Mondelez, och produceras ca 50 000 ton av choklad per år.
Globala organisationer enligt uppgift drabbats av ransomware ingår National Bank of Ukraine, Brittisk reklambyrå WPP, danska transportföretaget Maersk, och AMERIKANSKA läkemedelsföretaget Merck.
Naveen Bhat, Ixia s Asien-Stillahavsområdet vd, konstaterade att det inte var medveten om alla företag i Singapore som drabbats av Petya, att det skulle vara “ett säkert antagande att maskiner har påverkats i Singapore även om ingen har rapporterats hittills.” “Petya inte känner nationella gränser. Företag som inte har uppgraderat till senaste Windows-uppdateringarna är sårbara,” Bhat sagt.
0