Varování před novou vlnou ransomware – Petya

Ransomware – známý útok stokrát jinak

Ransomware je typ škodlivého kódu, který po infekci počítače oběti zašifruje všechna data a požaduje výkupné za jejich obnovení. Jednotlivé varianty tohoto útoku se liší především tím, jak se dostanou do počítače oběti. Je nutno podotknout, že vznikají stále nové varianty toho, jak počítač nakazit (tzv. útočné vektory). Důvodem je skutečnost, že ransomware je pro útočníky značně výnosný.

Petya je v tomto směru výjimečná, jelikož k infekci počítačů využívá více různých způsobů.

• Prvním způsobem je rozesílání emailů se zavirovanou přílohou v podobě dokumentů doc(x) a xls(x).
• Druhý způsob představuje využití zranitelnosti protokolu SMB, konkrétně exploit EternalBlue známý z dřívějších významných ransomware útoků.
• Poslední varianta šíření je ve světě ransomware novinkou – z již nakaženého počítače se Petya pokouší ukrást přihlašovací údaje uživatelů, se kterými se následně snaží připojit ke všem počítačům ve stejné síti nebo se snaží využít uživatelem vytvořených připojení k jiným počítačům.

Ať už je způsob nákazy jakákoliv, tak následuje pokus o přepsání záznamů v MBR sektoru disku a po restartu počítače vyzve uživatele ke spuštění kontroly a opravy disku. Ta poté skutečně proběhne, nicméně namísto opravy zašifruje veškerá uživatelská data a zobrazí výzvu k zaplacení výkupného.

Jak se lze chránit?

Běžní uživatelé mohou pro ochranu svých dat využít zejména následujících tří preventivních opatření:

1. Pravidelně instalovat bezpečnostní aktualizace operačního systému a používaného software. Záplatu chránící počítač před zmíněným exploitem EternalBlue vydal Microsoft již 14. 3. 2017 a uživatelé využívající automatických aktualizací jsou v tomto případě chráněni už od jara.
2. Používat aktualizovaný antivirový software. Microsoft vydal aktualizaci signatur pro svoje antivirové nástroje Windows Defender a Microsoft Security Essentials do několika hodin po objevení tohoto ransomware. Obdobně jsou na tom i produkty od dalších výrobců antivirů a jejich přítomnost na počítači tak dokáže efektivně zabránit infekci.
3. Pravidelně zálohovat důležitá data, aby je bylo možné obnovit v případě jejich ztráty. Tím se odstraní následky případné nákazy, nebo také poruchy disku.

Administrátorům sítě doporučujeme blokovat provoz SMB protokolu již na hranici sítě a nastavit whitelist serverů, které tento protokol potřebují ke své činnosti.

Co dělat v případě nakažení?

V případě, že se domníváte, že byl váš počítač infikován, tak doporučujeme okamžitě "na tvrdo" vytáhnout počítač z elektrické sítě a zavolat IT odborníka. Existuje značná pravděpodobnost, že se data podaří obnovit.

Pokud už dojde k nakáze a zašifrování dat, je řešením pouze obnova dat z předchozí zálohy. Rozhodně nedoporučujeme platit výkupné, ve většině případů totiž k obnově dat nedojde a škody se tak jenom zvětšují.

Poslední, avšak značně nejistou možností, je počkat a doufat, že se podaří šifrování ransomwaru prolomit a data obnovit tímto způsobem. Tomu se věnuje projekt No More Ransom.

Závěrem

Drtivá většina útoků tohoto typu cílí na zastaralé nebo špatně zabezpečené systémy. Jak je patrné, úroveň útoků se postupně zvyšuje, stejně tak jako se bude navyšovat i jejich počet. V tomto kontextu je nutné zdůraznit význam preventivních opatření.

CSIRT-MU proto ve spolupráci s administrátory univerzity buduje bezpečné prostředí, díky kterému se nám daří úspěšně předcházet velkému množství útoků. Nákazu tímto ani dřívějšími ransomware využívající stejnou zranitelnost (např. velmi známý WannaCry), jsme doposud na Masarykově univerzitě nezaznamenali.

Photo Credit: Christoph Scholz Flickr via Compfight cc