La amasa elaĉetomo de WannaCry ankoraŭ ne mortis kaj alia grandskala elaĉetuma atako kaŭzas kaoson tutmonde, infektante kaj fermante maŝinojn grandskale. Nova malware nomata "Petya Ransomware" or "Petwrap Ransomware" atakis multajn komputilojn ĉe bankoj, entreprenoj, elektroprovizoj kaj bankoj tra Rusujo, Ukrainio, Hispanio, Francio, Britio, Barato kaj Eŭropo kaj postulis $ 300 en bitmonoj.
Laŭ fontoj, la malbon-varo disvastiĝas rapide kun la helpo de sama vindoza vundebleco SMBv1, kiun la ransomware WannaCry misuzis pli frue en majo 2017 por infekti 300,000 komputilojn tutmonde en nur 72 horoj.
Kio estas Petya Ransomware?
Petya estas aĉa ransomware kaj funkcias tre malsame ol iu ajn alia ransomware malware. Male al aliaj tradiciaj elaĉetiloj, Petya ne ĉifras dosierojn sur laŭcela sistemo unu post la alia.
Anstataŭe, Petya restartigas viktimajn komputilojn kaj ĉifras la majstran dosieran tablon (MFT) de la durdisko kaj igas la ĉefan memoregistran rekordon (MBR) neefikebla, limigante aliron al la plena sistemo kaptante informojn pri dosiernomoj, grandecoj kaj loko sur la fizika disko.
Petya elaĉetomonvaro anstataŭigas MBR de la komputilo per sia propra malica kodo, kiu montras la elaĉetan noton kaj lasas komputilojn nekapablaj ekŝargi. Laŭ la firmao pri Sekureca Esploro Kaspersky, Petya povus esti varianto de Petya.A, Petya.D aŭ PetrWrap.
Kiel efikas Petya Ransomware?
Petya ransomware disvastiĝas super la protokolo SMB de Microsoft Windows. Ĝi uzas la Eternalblue-ekspluatilon, kiu ekspluatas CVE-2017-0144. Samkiel Wannacry, ĝi profitas de senkoloraj Vindozaj maŝinoj.
“Petya uzas la NSA Eternabluo ekspluati sed ankaŭ disvastiĝas en internaj retoj kun WMIC kaj PSEXEC. Tial flikitaj sistemoj povas trafi. " Mikko Hypponen, ĉefa esploristo ĉe F-Secure, ĉirpetis.
Post kiam la sistemo estas kompromitita, la viktimo petas sendi 300 usonajn dolarojn en Bitcoin al specifa Bitcoin-adreso kaj poste sendi retpoŝton al ili kun la Bitcoin-monujo de la viktimo por retrovi sian individuan deĉifran ŝlosilon.
La komputilo de la viktimo montriĝas kun mesaĝo dirante: "Se vi vidas ĉi tiun tekston, tiam viaj dosieroj ne plu estas alireblaj ĉar ili estas ĉifritaj. Eble vi okupiĝas pri serĉado de maniero rekuperi viajn dosierojn, sed ne perdu vian tempon. Neniu povas rekuperi viajn dosierojn sen nia deĉifra servo. "
Petya Ransomware Trafas Bankojn, Komercojn kaj Telekomunikajn Kompaniojn
En la lastaj horoj, Petya ransomware jam infektis rusan ŝtatan petrolan giganton Rosneft, ukrainajn ŝtatajn elektroprovizantojn, "Kyivenergo" kaj "Ukrenergo". Estas ankaŭ raportoj de pluraj bankoj, inkluzive de Nacia Banko de Ukrainio (NBU) kaj Oschadbank, konfirmante, ke ili estis trafitaj de la Petya-ransomware-atakoj.
Maersk, internacia loĝistika kompanio, ankaŭ konfirmis en Twitter, ke la plej novaj atakoj pri ransomware de Petya fermis ĝiajn IT-sistemojn ĉe multaj lokoj kaj komercaj unuoj. Tri ukrainaj telekomunikadaj telefonistoj, Kyivstar, LifeCell, Ukrtelecom, ankaŭ estas tuŝitaj de la plej nova Petya-atako.
La plej severaj damaĝoj raportitaj de ukrainaj entreprenoj ankaŭ inkluzivas kompromitajn sistemojn ĉe la loka metroo de Ukrainio kaj la flughaveno Boryspil de Kievo.
Kiel Malhelpi Infekton de Petya Ransomware?
Sekurecaj esploristoj trovis, ke Petya ransomware ĉifras sistemojn post restartigi la komputilon. Do se via sistemo estas infektita per ransomware Petya kaj ĝi provas rekomenci, simple malŝaltu ĝin tuj.
"Se maŝino rekomencas kaj vi vidas ĉi tiun mesaĝon, malŝaltu tuj! Jen la ĉifra procezo. Se vi ne enŝaltas, dosieroj bonas, "HackerFantastic ĉirpetis.
Se maŝino rekomencas kaj vi vidas ĉi tiun mesaĝon, malŝaltu tuj! Jen la ĉifra procezo. Se vi ne funkciigas, dosieroj bonas. pic.twitter.com/IqwzWdlrX6
— hackerfantastic.x (@hackerfantastic) Junio 27, 2017
Atakita de Petya Ransomware? Jen Kion Vi Devus Fari:
Infektitaj uzantoj konsilas ne pagi la elaĉetomonon, ĉar retpiratoj malantaŭ Petya-elaĉetomonaro ne plu povas ricevi viajn retpoŝtojn. Do, eĉ se vi pagus, vi ne reakirus viajn dosierojn.
Posteo, la germana retpoŝta provizanto, nuligis la retpoŝtan adreson (wowsmith123456@posteo.net) uzatan de atakantoj por komuniki kun viktimoj por ricevi la malĉifrajn ŝlosilojn.
Kiel Protekti Vin Kontraŭ Iuj Ransomware-Atakoj?
- Apliki sekurecajn ĝisdatigojn en MS17-010
- Malebligu la nesekurigitan protokolon pri dividado de dosieroj SMBv1 en viaj Vindozaj sistemoj kaj serviloj.
- Bloki enirajn konektojn sur TCP-Haveno 445
- Kreu kaj konservu bonajn sekurkopiojn, tiel ke se infekto okazas, vi povas restarigi viajn datumojn.
- Certigu, ke vi funkciigas bonan kaj efikan kontraŭvirusan sekurecan aron en via sistemo.
- Plej grave, ĉiam trarigardi la Interreton sekure.
