28/06/2017

Polska w czołówce krajów atakowanych nowym ransomware

Informacje Porady Zagrożenia

[Aktualizacja, 29 czerwca]

Wczoraj miał miejsce globalny atak ransomware, które nosi różne nazwy: Petya/NotPetya/ExPetr. Najnowszy przypadek przypomina nam historię zagrożenia WannaCry, która miała miejsce niedawno.

W ciągu kilku godzin infekcję zgłosiło wiele dużych firm z różnych krajów, a rozmiar epidemii prawdopodobnie jeszcze się zwiększy.

Nie jest jeszcze wiadomo, czym dokładnie jest nowe ransomware. Według niektórych może to być nowa odmiana zagrożenia Petya (np. Petya.A, Petya.D czy PetrWrap), może to być również WannaCry (choć w rzeczywistości tak nie jest). Eksperci z Kaspersky Lab badają już to nowe zagrożenie, a gdy będą mieli jakieś nowe wnioski, na pewno o tym napiszemy na naszym blogu.

Wydaje się, że atak jest złożony i wykorzystuje kilka wektorów ataków. Na chwilę obecną możemy jedynie potwierdzić, że zmieniony exploit EternalBlue jest wykorzystywany do rozprzestrzeniania się co najmniej w sieciach firmowych. Więcej informacji technicznych o tym ataku przeczytacie tutaj.

Najwięcej ataków odnotowano na Ukrainie i w Rosji, na trzecim miejscu znalazła się Polska:

Produkty firmy Kaspersky Lab wykrywają nowy program ransomware jako:

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (wykrywany przy użyciu sieci Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (wykrywany przy użyciu funkcji Kontrola systemu)
  • PDM:Exploit.Win32.Generic (wykrywany przy użyciu funkcji Kontrola systemu)

Porady dla klientów biznesowych

  1. Włącz Kaspersky Security Network i Kontrolę Systemu.
  2. Natychmiast ręcznie zaktualizuj antywirusowe bazy danych. W najbliższym czasie warto robić to co kilka godzin.
  3. Zainstaluj wszystkie aktualizacje bezpieczeństwa dla systemu Windows. Zwłaszcza bardzo istotna jest ta, która eliminuje błąd wykorzystywany przez EternalBlue.
  4. W ramach dodatkowych sposobów ochrony użyj komponentu Kontrola uprawnień aplikacji wchodzącego w skład Kaspersky Endpoint Security, aby całkowicie zablokować dostęp (w tym możliwość interakcji czy wykonywania) dla wszystkich grup aplikacji do pliku o nazwie perfc.dat i uniemożliwić uruchomienie narzędzia PSExec (będącego częścią pakietu Sysinternals Suite).
  5. Można również użyć komponentu Kontrola uruchamiania aplikacji produktu Kaspersky Endpoint Security w celu blokowania narzędzia PSExec, lecz zalecamy użycie modułu Kontrola uprawnień aplikacji do zablokowania pliku perfc.dat.
  6. Skonfiguruj i włącz tryb Odmowy domyślnej w komponencie Kontrola uruchamiania aplikacji produktu Kaspersky Endpoint Security, aby wymusić pro aktywną ochronę przed tym i podobnymi atakami.
  7. Ponadto można także użyć funkcji AppLocker do wyłączenia wykonywania wspomnianego wyżej pliku perfc.dat oraz narzędzia PSExec.

Porady dla klientów indywidualnych

Wygląda na to, że użytkownicy domowi nie ucierpieli tak bardzo w wyniku ataku tego zagrożenia. Stojący za nim cyberprzestępcy atakowali głównie duże firmy. Jednak skuteczna ochrona nie wymaga zbyt wiele wysiłku. Zobacz, jak ją wdrożyć:

  1. Wykonuj kopie zapasowe swoich danych. Mamy zawiłe czasy, dlatego zawsze warto to robić.
  2. Jeśli korzystasz z naszego oprogramowania, włącz Kaspersky Security Network i moduł Kontrola systemu.
  3. Ręcznie zaktualizuj bazy danych. Najlepiej zrobić to od razu.
  4. Zainstaluj wszystkie aktualizacje bezpieczeństwa dla systemu Windows. Ta ostatnia eliminuje luki wykorzystywane przez zagrożenie EternalBlue, dlatego jest szczególnie istotna. Zobacz, jak to zrobić.

Nie płać okupu

Według informacji opublikowanych na stronie Motherboard niemiecki dostawca poczty e-mail Posteo zamknął konta e-mail, które miały zostać wykorzystane przez ofiary do kontaktowania się z szantażystami, potwierdzania transakcji dokonywanych przy użyciu waluty bitcoin oraz otrzymywania kluczy deszyfrujących. Oznacza to, że ofiary, które chciałyby zapłacić cyberprzestępcom, nie będą mogły odzyskać swoich plików. Firma Kaspersky Lab nie popiera płacenia okupu w takich okolicznościach, a w tym przypadku jest to już bezcelowe.

Według analiz naszych ekspertów nigdy nie było tak małej szansy na przywrócenie danych ofiar ransomware.

Badacze z Kaspersky Lab przeanalizowali kod procesu szyfrowania i doszli do wniosku, że po zaszyfrowaniu dysku autor zagrożenia nie był w stanie odszyfrować dysków ofiary, ponieważ potrzebny jest do tego identyfikator instalacji. W poprzednich wersjach podobnego ransomware, czyli zagrożenia Petya/Mischa/GoldenEye, identyfikator instalacji zawierał informacje wymagane do przywrócenia klucza.

ExPetr (znany także jako NotPetya) nie ma identyfikatora instalacji, wobec czego autor tego szkodliwego programu nie może pobrać informacji wymaganych do odszyfrowania danych. Inaczej mówiąc, ofiary nie byłyby w stanie przywrócić swoich danych.

Nie płać okupu. To i tak nic nie da.