Petya - ransomware modyfikujące sektor MBR
#1
[Obrazek: csm_petya_98d3b027ca.png]

Krótka informacja z polskich źródeł...nielicznych do tej pory...na temat odkrytej przez badaczy z G DATA SecurityLabs nowej odmiany ransomware, którą nazwano Petya. Jego specyfika polega na tym, że nie szyfruje określonych rodzajów plików, ale modyfikuje sektor rozruchowy dysków MBR i tym samym blokuje dostęp do wszystkich zasobów łącznie z systemem oczywiście.
Cytat:Malware został zaprojektowany by atakować przede wszystkim firmy i został odkryty w Niemczech. Na komputery dostaje się przez dział zasobów ludzkich. W mailach wysłanych do ich pracowników znajdują się odnośniki do Dropboksa, gdzie rzekomo znajduje się résumé fikcyjnej osoby, ubiegającej się o pracę. Zadaniem osób rekrutujących jest przeglądanie takich plików, więc jest spora szansa, że plik zostanie pobrany i uruchomiony, mimo że pobrany plik ma rozszerzenie .EXE.

Po uruchomieniu tego programu komputer pokazuje „Niebieski Ekran Śmierci” i uruchamia się ponownie. Jednak zanim się włączy, ransomware zmienia Master Boot Record (MBR) w taki sposób, by kontrolować uruchamianie się komputera. Po tym nie zobaczymy Windowsa, ale informację o sprawdzaniu dysku przez CHKDSK. Tak naprawdę oczywiście nie sprawdza i nie naprawia stanu partycji, ale blokuje dostęp do zawartości dysku. Analitycy z G DATA przypuszczają, że pliki nie są szyfrowane, a jedynie dostęp do nich ze strony użytkownika jest blokowany.
Po zakończeniu niewinnie wyglądającego sprawdzania partycji Petya pokazuje swoją prawdziwą twarz, a w zasadzie czaszkę.

Źródło cytatu

[Aby zobaczyć linki, zarejestruj się tutaj]



[Obrazek: csm_Petya-RansomSite_8ebf23a247.png]

Interesująca dyskusja na temat tego zagrożenia znajduje się na forum Malwaretips...tam też analiza tego szkodnika przedstawiona przez F. Wosara z Emsisoft. Ważna jest konkluzja na końcu postu
Cytat:There is also one other misconception you see people regurgitating repeatedly when it comes to this malware and that is the Mirror MFT. "Can't you just restore the MFT from the mirror MFT." That useless advise stems from the wrong belief that the Mirror MFT, which is an actual thing, contains a copy of all MFT records. That is blatantly wrong though. The Mirror MFT only contains the records of the first 4 MFT entries, which are for the MFT ($Mft) itself, the Mirror MFT ($MftMirr), the NTFS log file ($LogFile) and the volume information ($Volume). So the Mirror MFT is completely useless when dealing with this particular malware.

[Aby zobaczyć linki, zarejestruj się tutaj]


Obrazki pochodzą z oryginalnego komunikatu G DATA SecurityLabs

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Heh na myśl mi przyszły stare czasy i (nie)sławny 

[Aby zobaczyć linki, zarejestruj się tutaj]

 Smile
Odpowiedz
#3
Na Twitterze ojawiła się informacja, że odszyfrowano pliki przejęte przez Petya - tam też linki

[Aby zobaczyć linki, zarejestruj się tutaj]

Nieco więcej na GitHub

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Lawrence Abrams z Bleepingcomputer poinformował o odkryciu nowej wersji Petya - tym razem szkodnik działa dwuetapowo dzięki współpracy z innym ransomem o nazwie Mischa - jeśli Petya nie zdoła uzyskać odpowiednich uprawnień w systemie do zmiany w MBR, to pracę przejmuję Mischa, który działa jak pozostałe tradycyjne tego typu szkodniki - szyfruje pliki o pewnych rozszerzeniach (również .exe).
Więcej tu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Oficjalne "podsumowanie" ataku przychodzi od minister Streżyńskiej

Cytat:Posłanka Joanna Mucha z Platformy Obywatelskiej w formie interpelacji poselskiej nr 13879 zadała minister cyfryzacji Annie Streżyńskiej pytania o ataki cybernetyczne Petya, do których doszło w czerwcu br. Posłanka PO twierdzi, że w odpowiedzi na poprzednią interpelację nr 12636, którą otrzymała z Ministerstwa Cyfryzacji w maju br. -  Z odpowiedzi Ministerstwa Cyfryzacji wynika, że nie są prowadzone przez Państwo żadne audyty i kontrole bezpieczeństwa cyfrowego instytucji finansowych działających na terenie naszego kraju. Ministerstwo informuje mnie także że: "Wszystkie podmioty publiczne realizujące zadania w rozumieniu Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki samorządu terytorialnego i ich organy i in.) zobowiązane są posiadać system zarządzania bezpieczeństwem informacji – pisze Joanna Mucha.
Zdaniem posłanki PO powyższe w praktyce oznacza, że dane instytucji są chronione przez standardowe oprogramowania antywirusowe i hasła dostępu, które nie stanowią żadnej przeszkody dla tak zaawansowanych technologicznie ataków cybernetycznych. - Biorąc pod uwagę, że instytucje ogłaszające przetargi na stworzenie dla nich oprogramowania biorą pod uwagę głównie czynnik finansowy, to stan bezpieczeństwa kraju specjaliści określają jako znikomy. Ostatnie ataki oprogramowania Petya oraz WannaCry dotknęły firmy, koncerny i instytucje na całym świecie – czytamy w interpelacji.
Posłanka Mucha zapytała minister Streżyńską o to jaka była skala ataku wirusa Petya w Polsce, ile firm i instytucji zostało zaatakowanych i jakie  instytucje nadzorują przestrzeganie Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.
(...)
Według Anny Streżyńskiej,w Polsce zidentyfikowano jedenaście firm komercyjnych dotkniętych atakiem Petya, zaś Narodowe Centrum Cyberbezpieczeństwa (NC Cyber) nie odnotowało informacji o zgłoszeniach dotyczących administracji publicznej, instytucji finansowych i infrastruktury krytycznej państwa. 


Cytat:Po zidentyfikowaniu ataku natychmiast poinformowano o nim instytucje i firmy współpracujące z NC Cyber – z prośbą o szczególną czujność i wszelkie informacje, a także zgłoszenia ewentualnych przypadków infekcji. W informacjach dla opinii publicznej NC Cyber radziło, aby aktualizować systemy, robić backupy i nie korzystać z niezaufanych sieci (w tym Wi-fi). Działający w NC Cyber zespół CERT Polska już w dzień następujący po ataku, tj. 28 czerwca 2017 r., opublikował analizę ataku wraz z rekomendacjami w zakresie reagowania na zagrożenie.
Całość tu

[Aby zobaczyć linki, zarejestruj się tutaj]


Wynika z tego, że komercyjne firmy/instytucje są gorzej zabezpieczone, bo mamy o atakach informacje...ergo - nie ma informacji, to nie ma problemu w przypadku instytucji podlegających rządowi. Jakoś nie wierzę...
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości