Péťa

Péťa

Obrazovka po zašifrování

(po restartu systému)
Typ síťový červ , ransomware , exploit
Rok vzhledu 29. března 2016 (první verze);
27. června 2017 (začátek hromadného útoku)
Použitý software Zranitelnost Windows SMB , zneužití EternalBlue a EternalRomance [ 1 ] , DoublePulsar backdoor (pravděpodobně) 
Popis Symantec
Popis Securelist

Petya (také známý jako Petya.A , Petya.D [2] , Trojan.Ransom.Petya , Petya Ransomware, PetrWrap [2] , NotPetya [2] , ExPetr , GoldenEye [2] ) je malware , síťový červ a program ransomware , který infikuje počítače se systémem Microsoft Windows . První odrůdy viru byly objeveny v březnu 2016 [3] [4] .

Program zašifruje soubory na pevném disku počítače oběti a také přepíše a zašifruje MBR  - data nezbytná pro zavedení operačního systému [5] . V důsledku toho se všechny soubory uložené v počítači stanou nedostupnými. Program poté požaduje výkupné v bitcoinech za dešifrování a obnovení přístupu k souborům. První verze viru přitom nešifrovala samotné soubory, ale MFT tabulku  , databázi s informacemi o všech souborech uložených na disku [3] . Platba výkupného je k ničemu, protože verze Petya z roku 2017 (nazývaná NotPetya) neumožňuje dešifrování informací na pevném disku, ale nenávratně je zničí [6] [7] .

Historie

První verze v roce 2016

Virus Petya byl poprvé detekován v březnu 2016. Check Point v té době poznamenal, že i když se mu podařilo infikovat méně počítačů než jiný ransomware z počátku roku 2016, jako je CryptoWall , chování nového viru bylo výrazně odlišné, takže byl „okamžitě oslavován jako další krok ve vývoji ransomwaru.“ [vyděrači" [ 8] . Za obnovení přístupu k souborům program od uživatele požadoval 0,9 bitcoinů (asi 380 USD k březnu 2016) [9] . Další verze programu byla objevena v květnu 2016. Obsahoval další užitečné zatížení : pokud se viru nepodaří získat administrátorská práva k přepsání MBR a následnému zašifrování MFT , nainstaluje na infikovaný počítač další škodlivý program - Mischa, který zašifruje přímo soubory uživatele (tato operace obvykle nevyžaduje administrátora práva) a poté vyžaduje výkupné ve výši 1,93 bitcoinů (v té době 875 USD) [10] [11] .

Masová infekce v roce 2017

Dne 27. června 2017 začala hromadná distribuce nové modifikace programu. Tentokrát virus používá stejné zranitelnosti systému jako WannaCry (například exploit EternalBlue od NSA a backdoor DoublePulsar ) a vyžaduje 300 $ v bitcoinech pro obnovení přístupu k datům [5] . Odborníci však nedoporučují, aby se uživatelé řídili ransomwarem, protože to jim stále nepomůže znovu získat přístup k datům: e-mailová adresa, na kterou útočníci požadují zaslání dat po provedení platby, již byla poskytovatelem zablokována [2] [12] . Podle hlavního inženýra McAfee Christiana Beeka byla tato verze navržena tak, aby se rozšířila co nejrychleji [13] . ESET uvedl, že šíření malwaru začalo na Ukrajině prostřednictvím populárního účetního softwaru M.E.Doc [14] . Napadeny byly energetické společnosti [15] , ukrajinské banky [16] , letiště Charkov [17] , jaderná elektrárna Černobyl [18] a vládní weby. Ukrajinská národní banka zveřejnila na svých stránkách oficiální prohlášení o hackerském útoku na banky země a boji proti němu [19] . Později se začaly objevovat zprávy o hackerském útoku na ruské banky, společnosti, podniky: Sberbank , Home Credit , Rosněfť , Bashneft [20] a Evraz [ 21 ] . Zprávy o infekci začaly přicházet také z Itálie , Izraele , Srbska , Maďarska , Rumunska , Polska , Argentiny , České republiky , Německa , Velké Británie , USA , Dánska , Nizozemska , Španělska , Indie , Ukrajiny, Francie a Estonska [14] [22] [23] [24] .

Podle zpráv ukrajinské kybernetické policie útok pravděpodobně začal prostřednictvím mechanismu aktualizace účetního softwaru MEDoc, který se v celé zemi používá k přípravě a podávání daňových přiznání [25] . To může vysvětlit, proč bylo postiženo velké množství ukrajinských organizací, včetně vlády, bank, státních energetických společností, kyjevského letiště a metra. Například systém monitorování radiace v jaderné elektrárně v Černobylu byl odpojen od sítě , což přinutilo zaměstnance přejít na ruční měřiče a ruční ovládání obecně. Druhá vlna epidemie byla replikována phishingovou kampaní se škodlivými přílohami [23] . Samotná společnost MEDoc popírá, že by za šíření viru mohly její aktualizační soubory [26] . Experti Microsoftu však potvrzují, že první případy infekce začaly instalací aktualizace MEDoc [27] .

Cíle útoku

Podle některých analytiků se virus pouze vydává za ransomware, přičemž jeho skutečným cílem není peněžní zisk, ale masivní škody [6] . To je podpořeno skutečností, že verze viru z roku 2017 (pojmenovaný NotPetya) neznamená možnost dešifrovat informace na pevném disku, ale nenávratně je zničí. K tomuto závěru došel zejména expert na informační bezpečnost Matt Swische a také specialisté z Kaspersky Lab . Virový analytik Markus Hutchins , který v květnu 2017 omylem zastavil šíření síťového červa WannaCry , také připouští, že účelem kybernetického útoku bylo masivní selhání systému, a nikoli výkupné, ale popírá, že by došlo k nevratnému poškození pevného disku. předem naplánované útočníky [6] . Výzkumník kybernetické bezpečnosti Nicholas Weaver předpokládal, že Petya byl „úmyslný, zlomyslný, destruktivní útok nebo možná test maskovaný jako vydírání“ [28] . Specialista pod pseudonymem Grugq poznamenal, že první verze viru byla „zločineckým podnikem s cílem vydírat peníze“, ale nová verze k tomu zjevně není určena [29] . Také dodal:

S největší pravděpodobností je tento červ navržen tak, aby se rychle rozšířil a způsobil maximální škody prostřednictvím toho, co se zdá být pravděpodobné vydírání.

Mechanismus vydírání malwaru byl navíc špatně navržen a byl zcela k ničemu: jediná adresa je špatně zašifrovaná, což znamená, že lze vysledovat pohyb peněz. Dalším nedostatkem je požadavek na zaslání 60místného osobního identifikačního klíče, který nelze zkopírovat do schránky [23] . Odborníci společnosti Kaspersky Lab navíc zjistili, že v nové verzi viru je tento klíč nesmyslnou sadou náhodných znaků [2] . To může naznačovat, že tvůrci viru s největší pravděpodobností neměli v úmyslu data dešifrovat.

Vzhledem k tomu, že hlavní dopad kybernetického útoku dopadl na Ukrajinu, existuje hypotéza, že tento útok je politicky motivovaný. Tuto verzi podporuje i fakt, že 28. červen  je na Ukrajině Dnem ústavy [30] [31] .

Obrana

Většina velkých antivirových společností tvrdí, že jejich software je aktuální, aby mohl aktivně detekovat a chránit před napadením viry: například produkty společnosti Symantec používají signatury aktualizované verze 20170627.009 [ 5] . Společnost Kaspersky Lab také uvádí, že její software je připraven detekovat a chránit před malwarem [2] . Současné aktualizace systému Windows navíc opravují zranitelnost EternalBlue, která umožňuje zastavit jednu z hlavních metod infekce a zároveň chránit uživatele před budoucími útoky s různými druhy zátěže [32] .

Pro tento škodlivý útok byl objeven další vektor ochrany. Péťa zkontroluje přítomnost souboru perfc.dat umístěného v systémové složce pouze pro čtení. Pokud nalezne tento soubor, nezahájí šifrování softwaru a informací. [33] Taková „vakcína“ však ve skutečnosti nezabrání infekci: malware bude stále používat „oporu“ na infikovaném PC k šíření do dalších počítačových systémů prostřednictvím místní sítě [23] .

Název

Nazvat novou hrozbu „Petya“ je podle některých analytiků přísně vzato nesprávné. Malware má značné množství kódu se starší oblastí ransomwaru identifikovanou antivirovými systémy jako Petya. Jen pár hodin po začátku epidemie si však někteří výzkumníci informační bezpečnosti všimli, že tato podobnost je velmi povrchní [29] . Výzkumníci z Kaspersky Lab odmítli malware nazývat „Petya“ – místo toho používají termíny New Petya, NotPetya, ExPetr [2] . Šíří se i další varianty tohoto jména - Petna, Pneytna a další. Další výzkumníci, kteří malware sami objevili, mu navíc dali úplně jiné názvy: například rumunská společnost Bitdefender jej nazvala Goldeneye [23] . Na druhou stranu americká společnost Symantec považuje novou hrozbu za variaci viru Petya, aniž by mu dala jiný název [5] .

Viz také

Poznámky

  1. ExPetr má zájem o seriózní obchody . blog.kaspersky.com. Získáno 28. června 2017. Archivováno z originálu 12. července 2017.
  2. ↑ 1 2 3 4 5 6 7 8 Nová epidemie ransomwaru Petya/NotPetya/ExPetr . Kaspersky Lab. Získáno 28. června 2017. Archivováno z originálu 27. června 2017.
  3. ↑ 1 2 Petya ransomware žere vaše pevné disky . Kaspersky Lab (30. března 2016). Získáno 27. června 2017. Archivováno z originálu 29. června 2017.
  4. Ransom Petya . Symantec | Spojené státy americké (29. března 2016). Získáno 27. června 2017. Archivováno z originálu 11. července 2017.
  5. ↑ 1 2 3 4 Propuknutí ransomwaru Petya: Zde je to, co potřebujete vědět , Symantec Security Response . Archivováno z originálu 29. června 2017. Staženo 27. června 2017.
  6. 1 2 3 Péťa si vymaže paměť. Virus Petya trvale smaže soubory uživatele . Gazeta.Ru (29. června 2017). Získáno 29. června 2017. Archivováno z originálu 29. června 2017.
  7. Metoda pro obnovu dat z disku zašifrovaného NotPetya pomocí algoritmu Salsa20  (ruština) . Archivováno z originálu 7. července 2017. Staženo 7. července 2017.
  8. Dešifrování ransomwaru Petya . Blog Check Point (11. dubna 2016). Získáno 28. června 2017. Archivováno z originálu 30. června 2017.
  9. Petya ransomware šifruje pevné disky . blog.kaspersky.com. Získáno 28. června 2017. Archivováno z originálu 11. července 2017.
  10. Constantin, Lucian . Petya ransomware je nyní dvojnásobný problém  (anglicky) , Network World . Archivováno z originálu 31. července 2017. Staženo 28. června 2017.
  11. Mischa ransomware nyní přichází s ransomwarem Petya . blog.kaspersky.com. Získáno 28. června 2017. Archivováno z originálu 9. února 2017.
  12. Hacker za masivním propuknutím ransomwaru nemůže získat e-maily od obětí, které  zaplatily . základní deska. Získáno 28. června 2017. Archivováno z originálu 28. června 2017.
  13. Burgessi, Matte . Co se Petya ransomware šíří po Evropě? WIRED vysvětluje  (anglicky) , WIRED UK . Archivováno z originálu 31. prosince 2017. Staženo 28. června 2017.
  14. ↑ 1 2 Laboratoř ESET označila Ukrajinu za zdroj infekce virem Petya  (ruština) , Interfax.ru  (28. června 2017). Archivováno z originálu 29. června 2017. Staženo 28. června 2017.
  15. Kievenergo bylo hacknuto, Ukrenergo také mělo problémy , Interfax-Ukrajina . Archivováno z originálu 30. června 2017. Staženo 28. června 2017.
  16. Neznámí hackeři zablokovali počítače Oschadbank v Kyjevě a vymáhali bitcoiny . strana.ua. Získáno 28. června 2017. Archivováno z originálu 16. prosince 2021.
  17. Charkovské letiště přešlo na ruční odbavení kvůli hackerskému útoku  (ruština) , Interfax.ru  (28. června 2017). Archivováno z originálu 29. června 2017. Staženo 28. června 2017.
  18. Kvůli kybernetickým útokům bylo monitorování černobylské jaderné elektrárny přepnuto do manuálního režimu (nepřístupný odkaz) . News Mail.Ru. Získáno 28. června 2017. Archivováno z originálu 1. srpna 2017. 
  19. NBU před bankami a dalšími účastníky finančního sektoru o hackerském útoku (nepřístupný odkaz) . bank.gov.ua Získáno 28. června 2017. Archivováno z originálu 29. června 2017. 
  20. Virus Petya.A již napadl počítače tuctu velkých společností Channel Five . Staženo 28. června 2017.
  21. Natalja Seliverstová . Informační systém Evraz byl hacknut , RIA Novosti  (27. června 2017). Archivováno z originálu 1. srpna 2017. Staženo 17. července 2017.
  22. FOTO: Všechny obchody Ehituse ABC uzavřeny z důvodu mezinárodního kybernetického útoku , RUS Delfi  (28. června 2017). Archivováno z originálu 30. června 2017. Staženo 28. června 2017.
  23. ↑ 1 2 3 4 5 Solon, Olivie . Co je útok Petya ransomware a jak jej lze zastavit?  (anglicky) , The Guardian  (27. června 2017). Archivováno 30. května 2019. Staženo 28. června 2017.
  24. Obrovský kybernetický útok se šíří po celém světě  , The Independent (  27. června 2017). Archivováno z originálu 27. června 2017. Staženo 28. června 2017.
  25. Kybernetická policie na Ukrajině. Tento software mohl zavést funkci aktualizace, protože pravidelně odesílá na server http://upd.me-doc.com.ua pro pomoc User Agent "medoc1001189". . @CyberpoliceUA (27. června 2017). Staženo: 28. června 2017.
  26. MEDoc . www.facebook.com. Získáno 28. června 2017. Archivováno z originálu 27. června 2017.
  27. Nový ransomware, staré techniky: Petya přidává možnosti červa  , Zabezpečení Windows . Archivováno z originálu 28. června 2017. Staženo 28. června 2017.
  28. Propuknutí ransomwaru  'Petya ' je globální - Krebs o bezpečnosti . krebsonsecurity.com. Získáno 28. června 2017. Archivováno z originálu 13. února 2021.
  29. ↑ 1 2 grugq. Pnyetya: Další ohnisko ransomwaru . the grugq (27. června 2017). Získáno 28. června 2017. Archivováno z originálu 28. června 2017.
  30. Lee, David . „Vakcína“ vytvořená pro obrovský kybernetický útok  , BBC News (  28. června 2017). Archivováno z originálu 17. srpna 2019. Staženo 28. června 2017.
  31. Kybernetický útok zasáhl Ukrajinu a poté se šíří mezinárodně . The New York Times (27. června 2017). Získáno 28. června 2017. Archivováno z originálu 27. června 2017.
  32. Společnost Microsoft vydala opravu Wannacrypt pro nepodporované Windows XP, Windows 8 a Windows Server 2003 - MSPoweruser  , MSPoweruser (  13. května 2017). Archivováno 29. května 2020. Staženo 28. června 2017.
  33. Zabezpečení PT. #StopPetya Našli jsme místní “kill switch” pro #Petya: vytvořte soubor "C:\Windows\perfc"pic.twitter.com/zlwB8Zimhv . @PTsecurity_UK (27. června 2017). Získáno 7. července 2017. Archivováno z originálu dne 8. července 2017.