Petya - ransomware modyfikujące sektor MBR - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Petya - ransomware modyfikujące sektor MBR (/thread-10195.html) |
Petya - ransomware modyfikujące sektor MBR - ichito - 29.03.2016 Krótka informacja z polskich źródeł...nielicznych do tej pory...na temat odkrytej przez badaczy z G DATA SecurityLabs nowej odmiany ransomware, którą nazwano Petya. Jego specyfika polega na tym, że nie szyfruje określonych rodzajów plików, ale modyfikuje sektor rozruchowy dysków MBR i tym samym blokuje dostęp do wszystkich zasobów łącznie z systemem oczywiście. Cytat:Malware został zaprojektowany by atakować przede wszystkim firmy i został odkryty w Niemczech. Na komputery dostaje się przez dział zasobów ludzkich. W mailach wysłanych do ich pracowników znajdują się odnośniki do Dropboksa, gdzie rzekomo znajduje się résumé fikcyjnej osoby, ubiegającej się o pracę. Zadaniem osób rekrutujących jest przeglądanie takich plików, więc jest spora szansa, że plik zostanie pobrany i uruchomiony, mimo że pobrany plik ma rozszerzenie .EXE. Źródło cytatu [Aby zobaczyć linki, zarejestruj się tutaj] Interesująca dyskusja na temat tego zagrożenia znajduje się na forum Malwaretips...tam też analiza tego szkodnika przedstawiona przez F. Wosara z Emsisoft. Ważna jest konkluzja na końcu postu Cytat:There is also one other misconception you see people regurgitating repeatedly when it comes to this malware and that is the Mirror MFT. "Can't you just restore the MFT from the mirror MFT." That useless advise stems from the wrong belief that the Mirror MFT, which is an actual thing, contains a copy of all MFT records. That is blatantly wrong though. The Mirror MFT only contains the records of the first 4 MFT entries, which are for the MFT ($Mft) itself, the Mirror MFT ($MftMirr), the NTFS log file ($LogFile) and the volume information ($Volume). So the Mirror MFT is completely useless when dealing with this particular malware. [Aby zobaczyć linki, zarejestruj się tutaj] Obrazki pochodzą z oryginalnego komunikatu G DATA SecurityLabs [Aby zobaczyć linki, zarejestruj się tutaj] RE: Petya - ransomware modyfikujące sektor MBR - Buli - 29.03.2016 Heh na myśl mi przyszły stare czasy i (nie)sławny [Aby zobaczyć linki, zarejestruj się tutaj] RE: Petya - ransomware modyfikujące sektor MBR - ichito - 11.04.2016 Na Twitterze ojawiła się informacja, że odszyfrowano pliki przejęte przez Petya - tam też linki [Aby zobaczyć linki, zarejestruj się tutaj] Nieco więcej na GitHub[Aby zobaczyć linki, zarejestruj się tutaj] RE: Petya - ransomware modyfikujące sektor MBR - ichito - 18.05.2016 Lawrence Abrams z Bleepingcomputer poinformował o odkryciu nowej wersji Petya - tym razem szkodnik działa dwuetapowo dzięki współpracy z innym ransomem o nazwie Mischa - jeśli Petya nie zdoła uzyskać odpowiednich uprawnień w systemie do zmiany w MBR, to pracę przejmuję Mischa, który działa jak pozostałe tradycyjne tego typu szkodniki - szyfruje pliki o pewnych rozszerzeniach (również .exe). Więcej tu [Aby zobaczyć linki, zarejestruj się tutaj] RE: Petya - ransomware modyfikujące sektor MBR - ichito - 09.08.2017 Oficjalne "podsumowanie" ataku przychodzi od minister Streżyńskiej Cytat:Posłanka Joanna Mucha z Platformy Obywatelskiej w formie interpelacji poselskiej nr 13879 zadała minister cyfryzacji Annie Streżyńskiej pytania o ataki cybernetyczne Petya, do których doszło w czerwcu br. Posłanka PO twierdzi, że w odpowiedzi na poprzednią interpelację nr 12636, którą otrzymała z Ministerstwa Cyfryzacji w maju br. - Z odpowiedzi Ministerstwa Cyfryzacji wynika, że nie są prowadzone przez Państwo żadne audyty i kontrole bezpieczeństwa cyfrowego instytucji finansowych działających na terenie naszego kraju. Ministerstwo informuje mnie także że: "Wszystkie podmioty publiczne realizujące zadania w rozumieniu Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki samorządu terytorialnego i ich organy i in.) zobowiązane są posiadać system zarządzania bezpieczeństwem informacji – pisze Joanna Mucha.Całość tu [Aby zobaczyć linki, zarejestruj się tutaj] Wynika z tego, że komercyjne firmy/instytucje są gorzej zabezpieczone, bo mamy o atakach informacje...ergo - nie ma informacji, to nie ma problemu w przypadku instytucji podlegających rządowi. Jakoś nie wierzę... |