Izspiedējvīruss NotPetya – pazīmes un aizsardzība
Kopsavilkums 30.06.2017.
27.06.2017. visā pasaulē izplatījās vīruss «NotPetya». Uzbrukums sākās apmēram plkst. 14.00 pēc Latvijas laika, un sākotnēji tam bija pakļauti Ukrainas un Krievijas uzņēmumi, bet pēc tam tas sāka izplatīties arī Rietumeiropā un citur pasaulē. Uzbrukumā tika izmantots it kā izspiedējvīruss, kas sašifrē lietotāja datoros esošo informāciju. Var secināt, ka vīrusa aktīvā izplatīšana internetā tika veikta vien dažas stundas, taču lielu kaitējumu nodarīja tā izplatība lokālo tīklu iekšienē, izmantojot vīrusa paizplatīšanās funkcijas.
Latvijas valsts un pašvaldību iestādes nav cietušas «NotPetya» kampaņā. Pēc ekspertu aplēsēm, vīrusa izplatības kampaņa visdrīzāk veikta, lai bojātu uzņēmumu, iestāžu un privātpersonu datus, nevis izspiestu naudas līdzekļus, tādēļ dēvēt «NotPetya» par izspiedējvīrusu nav īsti precīzi.
Līdz 30.06.2017. CERT.LV ir saņēmis informāciju par četriem upuriem Latvijā, trīs uzņēmumiem un vienu privātpersonu. Gandrīz visiem «NotPetya» skartajiem uzņēmumiem ir filiāles Ukrainā, kas ir viena no uzbrukumā visvairāk cietušajām valstīm. Upuru skaits Latvijā ir mazs, tomēr cietušo uzņēmumu darbība traucēta būtiski.
Nav grūti prognozēt, ka šādi un līdzīgi uzbrukumi atkārtosies, tāpēc uzņēmumiem, iestādēm un privātpersonām ir svarīgi parūpēties par iespēju veidot rezerves kopijas, ja tas vēl netiek darīts, tāpat veikt regulārus programmatūras atjauninājumus. Šis nav pirmais gadījums, kad uzbrukumiem izmanto programmatūras nepilnības, kuras var viegli novērst ar atjauninājumu palīdzību
NotPetya vīrusa izplatīšanās mehānismi
- Vīruss tiek izplatīts ar inficētiem e-pasta pielikumiem, saitēm uz inficētiem dokumentiem.
- Ukrainas gadījumā vīruss, visticamāk, tika izplatīts, izmantojot ļaundabīgus Ukrainā populārās grāmatvedības programmatūras M.E.Doc atjauninājumus. Tika inficēti arī uzņēmumi ārpus Ukrainas, kuri izmantoja M.E.Doc.
Ja vīruss nonāk organizācijas tīklā, kurā izmanto failu apmaiņas protokolu SMB, tas tālāk izplatās, izmantojot ievainojamību EternalBlue (CVE-2017-014), kas izlabota ar Microsoft atjauninājumu MS17-010. Vīruss izmanto arī speciālus rīkus, lai iegūtu no datora atmiņas domēna administratora paroli, ko izmanto citu domēnā esošu datoru inficēšanai.
Ko darīt, lai pasargātos no vīrusa?
- atjaunināt Windows datorus (MS17-010). Par Windows 10 aizsardzību un vīrusa seku mazināšanas iespējām: https://blogs.technet.microsoft.com/mmpc/2017/06/29/windows-10-platform-resilience-against-the-petya-ransomware-attack/?platform=hootsuite
- atjaunināt antivīrusu programmatūru;
- būt ļoti uzmanīgiem ar pielikumiem un linkiem e-pastos;
- ir atrasta "vakcīna":
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/ - izveidot failu rezerves kopijas, ja tas vēl nav izdarīts.
Ja tiek konstatēts, ka dators ir inficēts (vai ir aizdomas par to), dators jāatslēdz no barošanas, portatīvajam datoram jāizņem baterija, ja iespējams. Pēc datora atvienošanas no barošanas, jāsazinās ar savu datorspeciālistu vai CERT.LV.
Ja inficētais dators ir pieslēgts uzņēmuma tīklam, tas var inficēt arī citus tīkla datorus un serverus, tāpēc jāveic visu pārējo tīklā esošo Microsoft Windows operētājsistēmu izmatojošo datoru pārbaude.
Maksāt prasīto izpirkuma maksu nekādā gadījumā nevajag, tas nepalīdzēs atgūt nošifrētos failus, jo e-pasta konti, kurus izmantoja uzbrucēji, ir bloķēti, un saziņa ar uzbrucējiem, kā arī atbloķēšanas atslēgas saņemšana nav iespējama.
Padziļināta vīrusa analīze
Plašāka informācija
Vīruss Petya/ NotPetya izstrādāts bojājumu radīšanai, ne finansiāla labuma gūšanai: https://www.bleepingcomputer.com/news/security/surprise-notpetya-is-a-cyber-weapon-its-not-ransomware/