Ponowne ożywienie ransomware – jak Petya wykorzystała WannaCry i GoldenEye? Sprawdź analizę jednostki badawczej firmy Sophos.
Nowy wariant Petya (nazywany Petrwrap, Petyawrap, NotPetya) – wirus typu ransomware dotknął w zeszłym tygodniu organizacje w całej Europie. Rodzina Petya została odkryta już w 2016. Wirusy do niej należące, zarażają urządzenia próbką ransomware, która żąda okupu i uniemożliwiają ofiarom uruchomienie komputera. Zastosowany w zeszłym tygodniu przez hakerów wariant Petya jest szczególnie groźny, ponieważ używa różnorodnych technik automatycznego rozprzestrzeniania w sieci firmowej, gdy tylko zostanie zainfekowany pojedynczy komputer. Sophos Labs, jednostka badawcza firmy Sophos przeanalizowała co łączy Petya z innymi wirusami typu ransomware – WannaCry i GoldenEye.
Ransomware typu Petya szyfruje pliki i dokumenty na zainfekowanym komputerze, podobnie jak inne wirusy ransomware. To, co jest dla Patya unikalne to fakt, że zamienia on oryginalne MBR (Główne rekordy ładujące) uniemożliwiając tym samym restart systemu Windows. Nowy MBR jest zaprogramowany, by pokazywać notę ransomware, w której wytłumaczone jest, w jaki sposób ofiara ma zapłacić okup. PetyaWrap zawiera wiele elementów skopiowanych z innych rodzajów złośliwych programów, w tym GoldenEye i WannaCry. Wykorzystanie możliwości innych wirusów sprawia, że PetyaWrap jest bardziej niebezpieczny niż jakikolwiek wariant Petya znany dotychczas.
PetyaWrap podobnie jak WannaCry samoistnie rozprzestrzenia się w sieci. Potrafi też automatycznie się kopiować, bez potrzeby otwierania zainfekowanych e-maili i załączników czy pobierania plików przez użytkowników. Nowy wariant Petya, tak jak ransomware GoldenEye, szyfruje pliki w taki sposób, by jedynie jego autorzy byli w stanie je odblokować. PetyaWrap powoduje, że dysk twardy znajduje się na poziomie sektora, przez co użytkownicy nie mogą uzyskać dostępu do dysku C:, nawet jeśli zostanie on podłączony do innego komputera.
W jaki sposób Petya rozprzestrzenia się w sieci?
PetyaWrap zaraża głównie sieci fimowe – wykorzystuje w tym celu zróżnicowane techniki zapożyczone od innych ransomware. Po pierwsze, zapożycza on technikę od WannaCry, która wykorzystuje krytyczne luki w zabezpieczeniach Windows, które zostały skradzione z US National Security Agency (NSA) przez hakerów zwanych Shadow Brokers. Najbardziej wykorzystywaną luką Windows jest powszechnie znana luka ETERNALBLUE. Microsoft opisał ten problem w biuletynie MS17-010 wydanym w marcu – a użytkownicy, którzy pobrali aktualizację jeszcze przed atakiem WannaCry, byli przed nim całkowicie zabezpieczeni. Są również bezpieczni w przypadku próby przedostania się PetyaWrap do ich komputera przez ETERNALBLUE.
Drugim sposobem infekowania sieci przez Petya jest używanie PsExec – popularnego narzędzia Windows do zdalnego wykonywania poleceń. PsExec będący częścią pakietu Sysinternals Microsoft, jest wygodnym narzędziem do poruszania się wewnątrz sieci, chętnie wykorzystywanym przez hakerów, ponieważ jest osadzone w systemie i nie wymaga pobrania przez użytkownika. Ten sposób rozprzestrzeniania się nie działa jednak na komputerach nie posiadających uprawnień do uruchamiania poleceń na komputerze. Jest to dobry powód do tego, by nie używać kont administratorskich przez cały czas, bez względu na to jak wygodne to może być dla pracowników IT.
Trzecim sposobem wykorzystywanym przez PetyaWrap jest poszukiwanie w komputerze haseł, które umożliwią zwiększenie uprawnień dostępu i przydzielanie uprawnień administratorskich zainfekowanemu urządzeniu. Wynajdywanie haseł odbywa się przy użyciu zmodyfikowanej kopii narzędzia do zbierania haseł o nazwie LSADUMP z zestawu narzędzi Mimikatz – podobnie jak w przypadku PsExec, to narzędzie do włamywania jest wbudowane w program PetyaWrap, dlatego nie trzeba go najpierw pobierać. W związku z różnorodnymi technikami używanymi przez PetyaWrap samo aktualizowanie zabezpieczeń Windows nie jest wystarczające – jeśli luka wykorzystywana pierwotnie przez WannaCry jest zablokowana, Petya użyje PSExec. Jeśli i ta technika okaże się nie skuteczna, wirus będzie poszukiwał haseł przy pomocy LSADUMP.
Klientom Sophos, posiadającym produkty Sophos Endpoint Protection (do ochrony urządzeń końcowych), nowy wartiant Petya nie zagraża. Klienci posiadający Sophos Intercept X byli zabezpieczeni proaktywnie, a żadne z ich plików nie zostały zaszyfrowane przez Petyawrap.
Jak zabezpieczyć się przed Petya?
- Należy upewnić się, że posiadany system posiada wszystkie aktualizacje, włączając te zawarte w biuletynie Microsoft MS17-010
- Należy rozważyć wstrzymanie działania narzędzia Microsoft PsExec na urządzeniach używanych przez pracowników. Można to zrobić za pomocą narzędzi Sophos Endpoint Protection.
- Należy regularnie tworzyć kopie zapasowe i przechowywać je poza siecią. Warto również szyfrować pliki, by zabezpieczać się przed ich dostaniem się w niepowołane ręce.
- Należy unikać otwierania e-maili, a zwłaszcza załączników od nieznanych adresatów
- Zachęcamy do pobrania darmowego okresu próbnego Sophos Intercept X w przypadku użytkowników firmowych lub Sophos Home Premium Beta dla użytkowników domowych, które zatrzymują ransomware przez blokowanie nieautoryzowanego szyfrowania plików na dysku twardym.