Bezpečnost | Ransomware

Včerejší vlna ransomwaru zasáhla i Česko. Petya je zákeřnější než WannaCry

  • Především země východní Evropy zasáhla další masivní vlna ransomwaru
  • Petya šifruje MBR a může napadnout i záplatovaný systém
  • Útočníci si vydělali asi 9 tisíc dolarů

Měsíc po tom, co svět vyděsil malware WannaCry, se včera v podobné míře rozšířila další celosvětová infekce. Opět jde o ransomware využívající díru v protokolu SMB a opět jsou nejvíc postiženy země východní Evropy. Tentokrát to ale odneslo i Česko, které se podle Esetu dostalo mezi desítku nejpostiženějších zemí.

Šifruje MBR

Nákaza má označení Win32/Diskcoder.C Trojan a je známá od loňského roku pod názvem Petya. Do jisté míry funguje velmi podobně jako WannaCry – šíří se pomocí nezáplatovaného protokolu pro sdílení v lokální síti, zároveň je ale nezanedbatelné množství počítačů zašifrováno vinou rozkliknutí nebezpečné přílohy v e-mailu. Rovněž může být zneužit systémový program PsExec, jenž standardně slouží pro vzdálenou instalaci aplikací. I proto může být napaden systém, v němž jsou instalovány aktualizace vydané po infekci malwarem WannaCry.

Petya na rozdíl od WannaCry a větší části tzv. ransomware nešifruje jednotlivé soubory na disku, ale MBR (Master Boot Record). Systém tak ztratí přístup ke spouštěcímu záznamu a místo nastartování systému je uživateli po restartu počítače zobrazen pouze požadavek výkupného. Až v případě, že tento mechanismus selže, začne Petya šifrovat i další soubory na disku.

Tento princip fungování je na jednu stranu zákeřný svou rychlostí – zašifrovat miniaturní MBR záznam je otázkou několika sekund. Na druhou stranu nejsou nijak poškozena samotná data a v případě, že není zahájen proces jejich šifrování, je možné soubory získat po vložení disku do neinfikovaného stroje.

Neplaťte, útočníci nekomunikují

Ačkoliv by se mohlo zdát, že při takto masivním rozšíření musí být ransomware pro útočníky zlatým dolem, většinou je tomu naopak. K opravdovému zaplacení výkupného se odhodlá jen zlomek obětí. V tomto případě si podle výpisu transakcí v bitocinové peněžence přišli útočníci asi na 9 250 dolarů, což je v přepočtu asi 214 tisíc korun. Vzhledem k tomu, že požadují asi 300 dolarů po každé oběti, zaplatilo maximálně 30 postižených.

Bizarní je však systém, jakým chtěli útočníci od obětí získávat peníze. Vše mělo být postaveno pouze na e-mailové konverzaci, kdy schránku provozovali na německé službě Posteo. Ta jim však byla brzy zablokována a oběti se tak s útočníky ani nemohou spojit. Žádný velký byznys to tedy z pohledu útočníků není.

Hlavně nezapnout počítač

Pokud se do vašeho systému ransomware postavený na vzorku Win32/Diskcoder.C, nejlepší reakcí je okamžité vypnutí počítače. Zatímco zašifrování spouštěcího záznamu trvá jen několik sekund, znepřístupnění dalších dat může zabrat i několik hodin. Proto je nutné po restartu počítače (který Petya vyžaduje) jej ihned vypnout. Právě v tomto okamžiku totiž zobrazí požadavek výkupného a započne šifrování dalších dat.

Opět však musíme připomenout především nutnost automatických aktualizací systému. Ty odstraní většinu bezpečnostních děr dřív, než je mohou útočníci zneužít. V případě malwaru šířeného pomocí nezáplatovaného SMB je provozování neaktualizovaného systému navíc značně nezodpovědné. Snadno může dojít k infekci dalších počítačů v síti.

Ransomware jsme rozebrali v Týdnu Živě:

Diskuze (22) Další článek: Jak rozšířit signál Wi-Fi: Extender je nejlevnější a snadná cesta

Témata článku: Bezpečnost, Viry, Malware, Ransomware, Energetika, ESET, WannaCry, Petya, Východní Evropa, Druhá strana, Bezpečnostní díra, Nejlepší reakce, Blockchain, Vydaná aktualizace, Útočník, Nejpostiženější země, Jednotlivý soubor, Nákaza, Infekce, Včerejší vlna, Vložení, Počítač, Nezanedbatelné množství, Nezáplatovaný protokol, Neaktualizovaný systém, Kvalitní počítače na Mall.cz


Určitě si přečtěte

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 66

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

** Koronavrus můžete sledovat skoro živě ** Analytici a kartografové připravili hromadu map ** Vybrali jsme deset z nich

Jakub Čížek | 8



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor