Kalendář
  • 24.11.2017Internet a technologie 17.2
  • 29.11.2017UK Security Expo
  • 4.12.2017European Security Awareness Summit 2017
  • 4.12.2017BlackHat Europe 2017
AEC v1.0.4

Kyber bezpecnost
@Kyberbezpecnost.cz

NotPetya: útok na Ukrajinu se vymknul z rukou

28. 6. 2017

Share Button

Malware označovaný jako NotPetya nebo Petna se začal šířit nejprve na Ukrajině. Zdrojem byl updatovací server účetního softwaru MeDoc. Jedná se o zcela nový ransomware, který má s původním malwarem Petya společné jen to, že také přepisuje MBR disku. Poté co nakazí jeden počítač, snaží se NotPetya rozšířit do celé sítě. K tomu využívá exploity EternalBlue a EternalRomance a snaží se z paměti získat administrátorské heslo. Do zbytku sítě se šíří pomocí nástroje PsExec. Poté přepíše NTFS Master File Table (MFT) a do Master Boot Record uloží vlastní bootovací sekvenci s výzvou k zaplacení výkupného.

Útokem NotPetya byla nejvíc zasažena Ukrajina následovaná Ruskem. Výpadek postihl významné společnosti jako je Maersk, Rosněft, UkrEnergo nebo mezinárodní letiště Kyjev-Boryspil.

Klasifikace NotPetya jako ransomware od počátku vyvolávala pochybnosti. Útočníci přišli o možnost vybírat výkupné už za několik hodin tím, že jim server Posteo zablokoval e-mailovou schránku. Výzkumníci z Kaspersky Labs navíc zjistili, že smazání MBR je nevratné a unikátní kód pro každý počítač byl generován náhodně. Obnova dat tak nebyla možná v žádném případě.

Uživatelé se ale útoku NotPetya mohou bránit aktualizací systému nebo vytvořením souboru C:\Windows\perfc s atributem jen pro čtení. Pokud NotPetya tento soubor najde, žádná data nezašifruje.

Share Button

Komentáře