0 comments

Petya, un nou ransomware mai rău ca WannaCrypt

by on 28/06/2017
 

Săptămâna aceasta ne-a adus un nou val de infecție, grație unui nou tip de ransowmare bazat pe uneltele construite de NSA, ce s-au propagat pe internet în ultimele luni.

Denumire sa exactă încă nu a fost standardizată, fiind numită Petya, PetraWrap, NotPetya și exPetr în acest moment. De dragul simplității, mă voi referi la acest ransomware cu numele Petya.

Noua specie este similară cu WannaCrypt, care luna trecută teroriza internetul, fiind construit pe baza aceluiași set de unelte NSA, EternalBlue. Numai că spre deosebire de WannaCrypt, Petya nu are un killswitch. Dimpotrivă, chiar incorporează alte unelte NSA, ca EternalRomance și se folosește de componentele PsExec și The Windows Management Instrumentation Command-line pentru a se propaga mai departe.

Petya funcționează prin criptarea registrului de boot al discului, alături de fișierele aflate pe drive-ul C. Criptarea este destul de complexă, iar pentru a o îndepărta victima trebuie să plătească 300 de dolari, în bitcoin. Această „taxă” nu poate fi însă plătită, pentru că e-mail-ul asociat cu cererea de răscumpărare a fost scos din funcțiune, așa că fișierele rămân criptate.

Numărul de sisteme infectate în acest moment cu Petya este de câteva zeci de mii, nu sute, ca în cazul lui WannaCrypt, dar importanța sistemelor infectate nu este de trecut cu vederea. Stația de monitorizare a radiației din zona de excluziune de la Cernobâl a fost infectată cu Petya, ducând la nevoia de-a monitoriza manual nivelul de radiație.

Bănci au fost afectate, aeroporturi, fabrici, la nivel global în jur de 2000 de instituții fiind lovite de acest ransomware. O parte considerabilă din ele se află în Rusia și Ucraina, deoarece unul din vectorii de infecție a fost sistemul de update al unui program de contabilitate, numit MeDoc.

Experții de securitate sugerează ca utilizatorii să țină la îndemână un anti-virus, să își fi actualizat sistemul de operare Windows cu update-ul ce elimină vulnerabilitatea exploatată de EternalBlue, să nu descarce atașamente suspicioase și să țină copii de rezervă pe medii de stocare locale, separate de internet.

[The Next Web, Kaspersky, Ars Technica]

Be the first to comment!
 
Leave a reply »

 

Leave a Response