Így lehet védekezni a Petya zsarolóvírus ellen

A Kormányzati Eseménykezelő Központ ajánlásával elkerülhető, hogy a legújabb világjárvány áldozatává váljunk.

A PetrWrap (NotPetya) ransomware egy Petya alapú zsaroló vírus. A C-ben írt és MS Visual Studioban fordított program több egy újabb variánsnál. Mivel a Petya-t használja a fájlok titkosítására, ami egy jól ismert ransomware, ezért a PetrWrap saját kriptográfiai rutint használ ennek elrejtésére. Ezt a folyamatot a készítők az OpenSSL-ből emelték át. Így a PetrWrap eléri, hogy az áldozat gépét lezárja és titkosítja az NTFS partíciókat. Mindezt anélkül, hogy megjelenne a képernyőn a villogó koponya animáció, amiről a Petya ismert.

A PetrWrap a WannaCry-hoz hasonlóan az SMBv1 sérülékenységet (EternalBlue) használja ki, emellett e-mail-ben, kéretlen adathalász levelekben is terjed, ahol álláshirdetésre való jelentkezésnek álcázza magát. Az elemzések szerint a csatolmányként érkező dokumentum tartalmazza azt parancsot, amely letölti a zsarolóvírust a számítógépre. A számítógép újraindítása után nem engedi bootolni a Windows-t, a saját bootloader-ét tölti be helyette, amely mutatja a titkosított fájlrendszer dekódolásához szükséges instrukciókat. A dekódoláshoz $300 értéknek megfelelő bitcoin fizetőeszközt várnak váltságdíjként.

Ha megfertőzött egy számítógépet, az alábbi módokon terjeszti tovább magát:

  • MS17-10 sérülékenységet kihasználva (ami a WannaCry is használt);
  • WMI (Windows Management Instrumentation) használatával;
  • PSEXEC vagy ehhez hasonló eszköz segítségével.

A következőket teszi a fertőzött számítógépen:

  • törli a rendszer eseménynaplóját, hogy nehezebb legyen detektálni;
  • felülírja és titkosítja a Master Boot Record (MBR) bejegyzést, majd újraindítja a számítógépet egy órán belül (feladatütemezőben hozza létre a feladatot);
  • titkosítja a FAT táblát, vagy ha ehhez nincs hozzáférése, újraindítás nélkül is képes titkosítani következő kiterjesztésű fájlokat: 3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip.

Az GovCERT a fertőzés elkerülése érdekében az alábbi javaslatokkal él a felhasználók irányába:

  • telepítsék a Windows SMB sérülékenységét befoltozó javítást;
  • ne látogassanak nem megbízható weboldalakat és ne kövessenek ilyen hivatkozásokat (linkeket) se;
  • az ismeretlen feladótól kapott e-mail csatolmányaként érkező dokumentumokkal szemben legyenek elővigyázatosak;
  • készítsenek biztonsági mentést a számítógépen tárolt fontos adatokról;
  • kapcsolják le az SMB1-et;
  • a fertőzés megelőzése érdekében az alábbi címek elérését érdemes letiltani a tűzfalon: french-cooking.com, benkow.cc, 185.165.29.78, upd.me-doc.com.ua, 95.141.115.108, 111.90.139.247, 84.200.16.242, 185.165.29.78, yadi.sk.
  • részleges megoldások: készítsenek egy kiterjesztés nélküli "perfc" nevű fájlt a Windows telepítési mappájába (C:\Windows\), vagy blokkolják a "C:\Windows\perfc.dat" állomány írási/végrehajtási jogát, és ezáltal a ransomware semmilyen kárt sem fog okozni.

Amennyiben bekövetkezett a fertőzés, az NKI nem javasolja a váltságdíj megfizetését. Többen fizettek már, de nem kapták vissza az adataikat, továbbá a támadók által használt postafiókot letiltotta a szolgáltató, így onnan válasz nem várható fizetés esetén sem. Ezért ilyen esetben a rendszer újratelepítése szükséges és az adatok visszaállítása a biztonsági mentésből.

Azóta történt

Előzmények