01/04/2016

Petya „pożera” dyski twarde i żąda okupu

Zagrożenia

[Aktualizacja: 28 czerwca, 2017 r.]

Wygląda na to, że rok 2016 będzie należał do szkodliwych programów żądających okupu — nowe rodziny i wersje pojawiają się jak grzyby po deszczu.

Ransomware ewoluuje — i to szybko. Nowe wersje używają silnego szyfrowania asymetrycznego z długimi kluczami, bez których nie można odszyfrować plików. Aby pozostać całkowicie anonimowi, ich autorzy zaczęli korzystać sieci TOR i płatności w bitcoinach. Niedawno pojawiło się ransomware o nazwie Petya, które zamiast szyfrować pliki pojedynczo, szyfruje od razu cały dysk twardy.

petya-ransomware-fb-3

Jak Petya dostaje się na komputer

Petya to program żądający okupu, który przeważnie atakuje użytkowników biznesowych. Wskazuje na to fakt, że jest on dystrybuowany w wiadomościach spamowych, które teoretycznie zawierają dokumenty aplikacyjne. Standardowy scenariusz infekcji jest następujący:

Pracownik działu kadr odbiera wiadomość od osoby poszukującej pracy w danej firmie. Wiadomość zawiera odnośnik do pliku w serwisie Dropbox, który rzekomo jest curriculum vitae. W rzeczywistości jest to jednak plik wykonywalny EXE.

Po kliknięciu pliku pracownik nie zobaczy CV, ale niebieski ekran, tzw. Blue Screen of Death. Oznacza to, że Petya przedostała się do komputera i zaczęła swoją brudną robotę.

Twój dysk twardy należy do nas

Popularne szkodliwe programy typu ransomware zazwyczaj szyfrują określone pliki — zdjęcia, dokumenty Office itp. — ale nie uszkadzają systemu operacyjnego, więc ofiara może korzystać z komputera. Jednak Petya działa znacznie brutalniej, blokując dostęp do całego dysku twardego.

W skrócie można to opisać tak: nieważne, czy Twój dysk twardy ma jedną partycję, czy kilka — zawsze jest na nim niewidoczna z zewnątrz ilość miejsca zwana Master Boot Record (MBR). Znajdują się w niej dane na temat liczby i struktury partycji, a także specjalny kod używany do uruchamiania systemu operacyjnego — tzw. program rozruchowy (ang. boot loader).

Program ten zawsze jest uruchamiany przed systemem operacyjnym, dlatego Petya infekuje właśnie jego: modyfikuje ona program tak, aby ładował szkodliwy kod, a nie system danego komputera.

Z poziomu użytkownika wygląda to tak, jakby uruchomione zostało narzędzie CheckDisk, które jest bardzo przydatne w przypadku problemów z systemem. Jednak tutaj Petya szyfruje ukryty plik Master File Table — to kolejna ukryta część dysku twardego Twojego komputera, czyli tabela zawierająca wszystkie informacje dotyczące alokacji plików i folderów.

Wyobraź sobie, że dysk twardy Twojego komputera to przepastna biblioteka, która zawiera miliony, lub nawet miliardy przedmiotów, a tabela Master File Table to jej spis. Wyjaśnienie to jest oczywiście mocno uproszczone, więc aby dodać nieco realizmu, napiszę tak: na dysku twardym „książki” są rzadko przechowywane w razem, ale raczej jako pojedyncze strony lub nawet skrawki papieru. Nie są uporządkowane w stosy ani w jakiejś określonej kolejności, lecz zupełnie losowo.

Możesz sobie teraz wyobrazić, jaką trudność sprawia odnalezienie poszczególnej „książki”, gdy ktoś ukradnie ten spis — tak jak robi to ransomware Petya.

Następnie Petya ujawnia swoją prawdziwą twarz, przypominającą czaszkę zbudowaną z symboli ASCII. Później szkodliwy program informuje użytkownika, że jeśli chce on odszyfrować dysk twardy i odzyskać swoje pliki, musi zapłacić okup w wysokości 0,9 bitcoina, czyli ok. 380 dolarów.

Tym, co wyróżnia zagrożenie Petya, jest fakt, że działa ono całkowicie offline, co nie jest dużym zaskoczeniem, skoro „zjada” system operacyjny. Aby zapłacić okup i odzyskać dane, użytkownik musi znaleźć inny komputer.

Jak walczyć z Petyą

Niestety, podobnie jak w przypadku innych rodzajów programów wyłudzających okup badacze wciąż nie odkryli sposobu na uwolnienie informacji zaszyfrowanych przez Petyę. Jedyne, co możesz zrobić, to dobrze się przed nią chronić. Mamy też kilka dobrych informacji na temat dystrybucji Petyi.

Dobra wiadomość jest taka, że Dropbox usunął ze swojej chmury szkodliwe archiwa zagrożenia Petya, przestępcy muszą więc poszukać innego sposobu na jego dystrybucję. Zła wiadomość jest taka, że taka sytuacja nie potrwa zbyt długo.

Wróćmy do tematu ochrony. Co możesz zrobić?

  1. Gdy zobaczysz Blue Screen of Death, pamiętaj, że wszystkie dane są jeszcze nietknięte, ponieważ Petya nie zaczęła szyfrować Master File Table. Więc jeśli komputer wyświetla BSOD, uruchamia się i rozpoczyna proces Check Disk — natychmiast go wyłącz. Na tym etapie możesz usunąć dysk twardy, podłączyć go do innego komputera (ale nie używaj go jako urządzenia rozruchowego!) i przywrócić swoje pliki.
  2. Petya szyfruje tylko MFT, nie ruszając samych plików. Można je przywrócić w ramach przywracania dysku twardego. Procedura ta będzie skomplikowana, czasochłonna oraz stosunkowo droga, ale jest to wykonalne. Jednak nie próbuj robić tego w domu — jeden błąd może sprawić, że pozbędziesz się swoich plików na zawsze.
  3. Najlepszym sposobem na zabezpieczenie się jest zainstalowanie na swoim komputerze dobrego programu ochronnego. Kaspersky Internet Securitynie przepuści wiadomości spamowych, więc pewnie nawet nie zobaczysz wspomnianego e-maila z linkiem. A nawet jeśli Petya w jakiś sposób przedostanie się do komputera, zostanie wykryta jako Trojan-Ransom.Win32.Petr i Kaspersky Internet Security zablokuje całą jej aktywność. Tak też powinny zadziałać też inne produkty zabezpieczające.

Aktualizacja z 28 czerwca 2017 r.

Jeśli szukasz informacji związanych z nowym zagrożeniem Petya/NotPetya/ExPetr, przeczytaj nasz post, w którym znajdziesz także porady, jak zabezpieczyć swoje pliki.