Овај напад је забрињавајући јер је то други велики напад на рансомваре за два месеца, што је утицало на компаније широм свијета. Можда се сећате да је у мају Национална здравствена служба, НХС, у Британији заражена злонамерним софтвером званим ВаннаЦри. Овај програм је утицао на НХС и бројне друге организације широм света. ВаннаЦри је први пут откривен јавности када су пропуштени документи везани за НХС објавили онлајн хакери познати као брокери сенки у априлу.
Софтвер ВаннаЦри, такође назван ВаннаЦрипт, погодио је вишак од 230.000 рачунара, који су били лоцирани у више од 150 земаља широм света. Осим НХС-а, нападнута је и Телефоница, шпанска телефонска компанија и државне железнице у Немачкој.
Слично као ВаннаЦри, "Петиа" се брзо шири кроз мреже које користе Мицрософт Виндовс. Питање је, међутим, шта је то? Такође желимо да знамо зашто се то дешава и како се може зауставити.
Шта је Рансомваре?
Прва ствар коју морате разумети је дефиниција рансомваре-а . У основи, рансомваре је било која врста малвера који ради да блокира ваш приступ рачунару или подацима. Затим, када покусате да приступите том компјутеру или подацима о њему, не мозете доћи до тога, осим ако не платите откупнину. Прилично гадан, и управо значи!
Како ради Рансомваре?
Такође је важно схватити како функционише рансомваре. Када је рачунар заражен од стране рансомваре, он постаје шифрован. То значи да су документи на вашем рачунару закључани и не можете их отворити без плаћања откупнине. Да би се додатно компликовали ствари, откупнина мора бити плаћена у Битцоину, а не у кешу, за дигитални кључ који можете користити за откључавање датотека. Ако немате резервну копију својих датотека, имате два избора: можете платити откупнину, која је обично пар стотина долара до неколико хиљада долара или изгубите приступ свим вашим датотекама.
Како ради "Петиа" Рансомваре?
"Петиа" рансомваре ради као већина рансомваре. Он преузима рачунар, а затим тражи 300 долара у Битцоину. Ово је злонамерни софтвер који се брзо шири преко мреже или организације након инфицирања једног рачунара. Овај одређени софтвер користи рањивост ЕтерналБлуе, која је део Мицрософт Виндовс-а. Иако је Мицрософт сада објавио закрпу за рањивост, нису сви инсталирали. Рансомваре се такође може дистрибуирати преко Виндовс алатки за администрацију, који је доступан ако на рачунару нема лозинке. Ако злонамјерни софтвер не може да се нађе на један начин, он аутоматски покушава други, а то је како се тако брзо проширио међу овим организацијама.
Према томе, "Петиа" се простире много лакше него ВаннаЦри, према стручњацима за цибер сецурити.
Да ли постоји начин да се заштитите од "Петиа"?
Вероватно се питате у овом тренутку ако постоји било какав начин да се заштитите од "Петиа". Већина главних антивирусних компанија тврди да су ажурирали свој софтвер како би помогли не само откривању већ и заштити од инфекције малвареа "Петиа". На пример, Симантец софтвер нуди заштиту од "Петиа", а Касперски је ажурирао сав свој софтвер како би помогао клијентима да се заштите од малвера. Осим тога, можете се заштитити тако што ћете ажурирати Виндовс. Ако не радите ништа друго, барем инсталирајте критичку допуну коју је Виндовс објавио у марту, који се брани против ове рањивости ЕтерналБлуе. Ово зауставља један од главних начина да се инфицира, а такође штити од будућих напада.
Још једна линија одбране за појаву малвареа "Петиа" је такође доступна, и то је тек недавно откривено. Малвер проверава Ц: \ погон за датотеку која се може читати само перфц.дат. Ако малвер пронадје ову датотеку, он не покреце енкрипцију. Међутим, чак и ако имате ту датотеку, он заправо не спречава инфекцију малвера. Он и даље може да шири малвер на друге рачунаре на мрежи, чак и ако корисник то не примети на свом рачунару.
Зашто се овај малваре назива "Петиа"?
Можда се такође питате зашто се овај малвер назива "Петиа". Заправо, технички се не зове "Петиа". Уместо тога, чини се да има пуно кода са старим комадом рансомваре који се звао "Петиа". међутим, након почетне епидемије, стручњаци за сигурност су приметили да ова два откупна средства нису слична оној како је то прво размишљало. Дакле, истраживачи у Касперски Лаб-у су почели да се позивају на малваре као "НотПетиа" (то је оригинал!), Као и друга имена, укључујући и "Петна" и "Пнеитна." Поред тога, други истраживачи су називали програм другим именима укључујући "Голденеие" Битдефендер, из Румуније, почео је да је зове. Међутим, "Петиа" се већ заглавила.
Где је почела "Петиа"?
Да ли се питате где је "Петиа" започео? Чини се да је почело путем механизма за ажурирање софтвера који је уграђен у одређени рачуноводствени програм. Ове компаније су радиле са украјинском владом и захтевале од владе да користи овај програм. Због тога је на оволико предузећа у Украјини погођено. Организације укључују банке, владу, метро систем Кијева, главног кијевског аеродрома и државних електропривредних предузећа.
Систем који прати нивое зрачења у Чернобилу такође је био под утјецајем рансомваре и на крају је преузет ван мреже. Ово је приморало запосленике да користе ручне ручне уређаје за мерење зрачења у зони искључења. Поврх тога, постојао је други талас инфекција малваре-а који је покренута кампањом која је садржала е-маил прилоге, које су биле пуне малваре-а.
Колико далеко има инфекција "Петиа"?
"Рансомваре" "Петиа" се проширио широко и оштетио је пословање компанија како у САД тако иу Европи. На пример, ВПП, рекламна фирма у САД-у, Саинт-Гобаин, фирма за грађевинске материјале у Француској, и компаније Роснефт и Евраз, нафтне и челичне фирме у Русији, такође су погођене. Компанија Питтсбургх, Херитаге Валлеи Хеалтх Системс, такође је погођена малвареом "Петиа". Ова компанија управља болницама и установама за негу широм области Питтсбургха.
Међутим, за разлику од ВаннаЦри, малваре "Петиа" покушава брзо ширити кроз мреже на које приступа, али се не покушава ширити изван мреже. Ова чињеница само је могла да помогне потенцијалним жртвама овог злонамјерног софтвера, пошто је ограничила ширење. Дакле, чини се да постоји смањење броја нових инфекција.
Шта је мотивација за сајбер-криминалце који су послали "Петју"?
Када је "Петиа" првобитно откривен, чини се да је избијање малвера било једноставно покушај сајбер-криминалца да искористи предодређено онлине сајбер-оружје. Међутим, када су стручњаци за безбедност изгледали ближе у избијању малвареа "Петиа", кажу да су неки механизми, попут начина наплате плаћања, прилично аматерски, тако да не вјерују да су иза њега озбиљни сајбер-криминалци.
Прво, белешка о откупу која долази са малвареом "Петиа" укључује исту исту адресу за плаћање за сваку жртву малвера. Ово је чудно јер професионалци креирају прилагођену адресу за сваку од својих жртава. Друго, програм тражи од својих жртава да директно комуницирају са нападачима путем одређене адресе е-поште, која је одмах суспендована када је откривено да је адреса е-поште кориштена за жртве "Петиа". То значи да чак и ако особа плаћа отплату од 300 УСД, не може да комуницира са нападачима, а осим тога, не могу приступити кључу за дешифровање да би откључали рачунар или његове датотеке.
Ко су нападачи, онда?
Стручњаци за сигурност рачунара не вјерују да је иза малвареа "Петиа" професионални киберцриминал, па ко је? У овом тренутку нико не зна, али вероватно је да је особа или особе које су га пустиле хтеле да малвер изгледа као једноставан рансомваре, али уместо тога, много је деструктивнији од типичних рансомваре-а. Истраживач безбедности, Ницолас Веавер, сматра да је "Петиа" злонамерни, деструктивни и намерни напад. Други истраживач, коме иде Гругк, верује да је оригинални "Петиа" био део криминалне организације која зарађује новац, али ова "Петиа" не ради исто. Обојица се слажу да је злонамерни софтвер дизајниран да се брзо прошири и да створи велику штету.
Као што смо споменули, Украјину је прилично погођена "Петиа", а земља је показивала прсте у Русији. Ово није изненађење с обзиром да је Украјина кривила Русију због бројних претходних кибернетака. Један од ових кибернетака догодио се 2015. године, а циљ је био на украјинској електродистрибуцији. На крају је привремено одузео делове западне Украјине без икакве силе. Русија, међутим, негирала је било какво учешће у кибернетским нападима на Украјину.
Шта би требало да урадите ако верујете да сте жртва Рансомваре-а?
Мислите ли да сте можда жртва напада на превару? Овај одређени напад инфицира рачунар и чека приближно отприлике сат пре него што се рачунар покрене спонтано. Ако се то деси, одмах покушајте да искључите рачунар. Ово може спречити шифрирање датотека на рачунару. У том тренутку можете покушати да извадите датотеке из машине.
Ако рачунар заврши ребоот и откуп се не појави, не плаћајте га. Запамтите, адреса е-поште која се користи за прикупљање информација жртава и слање кључа је искључена. Дакле, уместо тога, искључите рачунар са Интернета и мреже, реформатујте чврсти диск, а затим користите резервну копију да бисте поново инсталирали датотеке. Обавезно редовно правите резервне копије датотека и увек ажурирајте антивирусни софтвер.