Petya ransomware-hyökkäys: miten ja kuka on saanut tartunnan; kuinka lopettaa se

Uusi ransomware-hyökkäys, joka käyttää WannaCry-hyökkäyksissä hyödynnettyä EternalBlue-haavoittuvuuden muokattua versiota, syntyi tiistaina ja on jo osunut yli 2000 tietokoneeseen maailmanlaajuisesti Espanjassa, Ranskassa, Ukrainassa, Venäjällä ja muissa maissa.

Hyökkäys kohdistui pääasiassa näiden maiden yrityksiin, mutta myös Yhdysvaltain Pittsburgin sairaala on kärsinyt. Hyökkäyksen uhreja ovat muun muassa keskuspankki, rautatiet, Ukrtelecom (Ukraina), Rosnett (Venäjä), WPP (UK) ja DLA Piper (Yhdysvallat).

Vaikka eniten tartuntoja on havaittu Ukrainassa, toiseksi eniten Venäjällä, seuraavina ovat Puola, Italia ja Saksa. Bitcoin-tili, jolla maksut hyväksyttiin, oli suorittanut yli 24 tapahtumaa ennen sen sulkemista.

Lue myös: Petya Ransomware-hakkerit menettävät pääsyn sähköpostitileihin; Uhrit vasemmalla pulassa.

Vaikka hyökkäystä ei ole suunnattu intialaisille yrityksille, se kohdistui varustamon jättiläinen AP Moller-Maerskiin. Jawaharlal Nehru -satama on uhattuna, koska yritys ylläpitää Gateway-terminaaleja satamassa.

Kuinka Petya Ransomware leviää?

Ransomware käyttää samanlaista hyväksikäyttöä, jota käytettiin aiemmin tässä kuussa laajoissa WannaCry-ransomware-hyökkäyksissä, jotka kohdistuivat vanhentuneisiin Windows-versioihin toimiviin koneisiin pienin muutoksin.

Haavoittuvuutta voidaan hyödyntää käyttämällä etäkoodin suoritusta tietokoneissa, joissa on Windows XP - Windows 2008 -järjestelmät.

Ransomware tartuttaa tietokoneen ja käynnistää sen uudelleen järjestelmätyökalujen avulla. Uudelleenkäynnistyksen yhteydessä se salaa MFT-taulukon NTFS-osioissa ja korvaa MBR: n räätälöityllä laturilla, joka näyttää lunastusilmoituksen.

Kaspersky Labsin mukaan ”Luototiedostojen sieppaamiseksi levitystä varten käytetään räätälöityjä työkaluja, a la Mimikatz. Nämä purkavat valtuustiedot lsass.exe-prosessista. Uuttamisen jälkeen käyttöoikeustiedot välitetään PsExec-työkaluille tai WMIC: lle jakelua varten verkon sisällä."

Mitä tapahtuu tietokoneen tartunnan jälkeen?

Kun Petya tartuttaa tietokoneen, käyttäjä menettää pääsyn koneeseen, joka näyttää mustan näytön, jossa on punainen teksti, joka lukee seuraavasti:

”Jos näet tämän tekstin, tiedostoihin ei voi enää päästä, koska ne ovat salattuja. Ehkä olet kiireellisesti etsimässä tapaa palauttaa tiedostosi, mutta älä tuhlaa aikamme. Kukaan ei voi palauttaa tiedostojasi ilman salauksen purkupalvelua."

Ja siellä on ohjeita, jotka koskevat 300 dollarin maksamista bitcoineissa ja tapaa, jolla kirjoittaa salauksen purkuavain ja noutaa tiedostot.

Kuinka pysyä turvassa?

Tällä hetkellä ei ole mitään konkreettista tapaa purkaa Petya-lunastusohjelman panttivankina olevia tiedostoja, koska se käyttää vankkaa salausavainta.

Mutta tietoturvasivusto Bleeping Computer uskoo, että vain luku -tyyppisen "perfc" -nimisen tiedoston luominen ja sijoittaminen Windows-kansioon C-asemaan voi auttaa pysäyttämään hyökkäyksen.

On myös tärkeää, että ihmiset, jotka eivät vieläkään ole, lataavat ja asentavat välittömästi vanhemmille Windows-käyttöjärjestelmille tarkoitetun Microsoft-korjaustiedoston, joka lopettaa EternalBlue: n käyttämän haavoittuvuuden. Tämä auttaa suojaamaan heitä samanlaisen haittaohjelmakannan, kuten Petyan, hyökkäyksiltä.

Jos kone käynnistyy uudelleen ja näet tämän viestin, katkaise virta heti! Tämä on salausprosessi. Jos et käynnistä virtaa, tiedostot ovat kunnossa. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27. kesäkuuta 2017

Vaikka lunastettujen ohjelmien hyökkäysten lukumäärä ja määrä kasvaa päivä päivältä, uusien tartuntojen riski vähenee huomattavasti hyökkäyksen muutaman ensimmäisen tunnin jälkeen.

Lue myös: Ransomware hyökkäykset nousussa: Näin voit pysyä turvassa.

Ja Petyan tapauksessa analyytikot ennustavat, että koodi osoittaa, että se ei leviä verkon ulkopuolelle. Kukaan ei ole vielä pystynyt selvittämään, kuka on vastuussa tästä hyökkäyksestä.

Turvallisuustutkijat eivät vieläkään ole löytäneet tapaa purkaa Petya-ransomware-tartunnan saaneiden järjestelmien salausta. Koska edes hakkereihin ei voida nyt ottaa yhteyttä, kaikki asiaankuuluvat jäävät toistaiseksi.