81

Sprawdź jak ochronić się przed ransomware Petya – poradnik

Niezwykle niebezpieczny ransomware, Petya atakuje już na całym świecie. Ofiarami cyberataku okazały się być głównie instytucje oraz firmy właściwie z każdego sektora, choć rządy martwi paraliż energetyki, lotnisk i dużych fabryk. Nie oznacza to, że Petya nie może zaatakować Was - sprawdźcie co zrobić, żeby się przed tym uchronić!

Jak spekulowano wcześniej, źródłem zarażeń są ukraińskie infrastruktury sieciowe należące do firm oraz instytucji. Okazało się, że w popularnym oprogramowaniu w tym kraju M.E.doc podmieniono aktualizację na serwerze dystrybucyjnym, przez co Petya rozsiał się na korzystające zeń maszyny. Następnie, z pomocą sieci lokalnych wykorzystywano protokół SMBv1, a także WebDAV-y oraz LSADump. Nawet pełne zaktualizowanie mogło nie przynieść żadnego pozytywnego skutku w walce z Petya, bowiem szybko okazało się, że wystarczy, by komputer był podpięty do tej samej domeny, co zarażona maszyna, by po chwili również stać się ofiarą.

Incydenty z Petya w roli głównej okazały się tak poważne, że Beata Szydło postanowiła zorganizować sztab kryzysowy. Powodem, dla którego został on zorganizowany jest fakt, iż zaatakowano sporo instytucji oraz firm z newralgicznych dla kraju sektorów.

Co możesz zrobić, żeby nie zarazić się ransomware Petya?

Pamiętaj, żeby pod żadnym pozorem nie otwierać podejrzanych załączników w wiadomościach e-mail – wykazano, iż socjotechnika również jest wektorem zarażenia w przypadku tego ransomware. Dla spokoju ducha, przystąp również do pełnego zaktualizowania swojego systemu Windows – nieważne, czy jest to wersja 7, 8.1, czy też 10. Warto dodać, że istnieje szczepionka, która przeciwdziała rozpoczęciu szyfrowania dysku nawet w przypadku, gdy Petya znajdzie się na komputerze.

Eksperci ds. cyberataków przeanalizowali działanie Petya i odkryli szczepionkę / lokalnego killswitcha, który powoduje, iż zagrożenie nie przystępuje do właściwych działań szyfrujących nawet, jeżeli pomyślnie znalazło się na maszynie i ma warunki ku temu, aby uruchomić procedurę. Wiadomo jednak, że jeżeli na dysku, w ścieżce C:\Windows znajdzie się plik o nazwie perfc (bez rozszerzenia!), Petya nie zaszyfruje dysku.

Jak stworzyć plik perfc na maszynie z Windows na pokładzie?

perfc, petya, szczepionka na petya

Po pierwsze, upewnij się, że w opcjach plików oraz folderów masz odznaczoną opcję ukrywania rozszerzeń znanych typów plików. Będzie Ci to potrzebne w trakcie tworzenia takiego pliku w głównym katalogu Windows.

szczepionka na petya

Przejdź następnie do wspomnianego wyżej folderu (C:/Windows) i znajdź jakikolwiek plik i skopiuj go w tej samej lokalizacji. Powinien pojawić się pod postacią np. notepad.exe – kopia. Następnie, zmień jego nazwę usuwając rozszerzenie tak, aby nazywał się perfc. Za każdym razem będziesz zmuszony potwierdzać podwyższone uprawnienia w systemie, ale bez obaw. Są one podnoszone tylko na czas wykonywania danej operacji i nie mają wpływu na ogólne bezpieczeństwo Twojego komputera. Dla pewności, że wszystko jest w porządku, nadaj atrybut plikowi „tylko do odczytu”: prawoklik na perfc, właściwości, zaznacz: Tylko do odczytu.

Istnieje też prostszy sposób – w sieci krąży specjalny plik .bat, który potrafi stworzyć plik perfc w katalogu Windows automatycznie. Uruchomcie go jako administrator i potwierdźcie uprawnienia.

Warto też rozprawić się z portem SMBv1

Wiadomo, że Petya rozsiewał się w sieciach lokalnych za pomocą portu SMBv1 (czyli dokładnie tak samo, jak WannaCrypt…), a także poprzez przechwytywanie haseł dostępowych domeny za pośrednictwem usługi WebDAV.

Najprościej będzie wyłączyć całkowicie port SMBv1, który – uwaga – korzysta z rozwiązań opracowanych… trzy dekady temu. Okazało się ponadto, że jest on odpowiedzialny za propagację m. in. WannaCrypt, który również zebrał spore żniwo w sieci.

wyłączanie SMBv1, szczepionka na petya

Znajdźcie ekran ustawień Włącz lub wyłącz funkcje systemu Windows, po czym znajdź przełącznik dla: Obsługa udostępniania plików SMB 1.0/CIFS. Wyłącz go, po czym uruchom ponownie komputer. Możliwe jest także wykonanie tej operacji w PowerShellu (koniecznie z prawami administratora) za pomocą komendy:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Po wszystkim nie zapomnijcie uruchomić komputera ponownie.

Jeżeli zobaczysz taki ekran – nie panikuj! Petya właśnie Cię dopadł, ale jest na niego sposób

petya, chkdsk, ransomware

Jeżeli po nieoczekiwanym błędzie STOP, w trakcie uruchamiania systemu zobaczycie taki ekran, szybko wyłączcie maszynę! Petya w trakcie szyfrowania dysku udaje systemowy program CHKDSK i informuje o tym, że nieoczekiwane wyłączenie sprzętu może spowodować utratę danych. Nic takiego się nie stanie – odłączcie czym prędzej zasilanie i nie próbujcie nawet wykonywać ponownego rozruchu do Windows. W odzyskaniu plików pomoże Wam jakikolwiek liveCD, za pomocą którego uchronicie się przed utratą danych.

To jeszcze nie koniec wieści o Petya

Wkrótce pojawi się więcej informacji na temat tego zagrożenia. Stale analizujemy ten temat i w ciągu najbliższych dni spodziewajcie się kolejnych publikacji o Petya. Pamiętajcie o backupach, aktualizacjach oraz metodach zapobiegania zarażeniom. Wszystkiego niezaszyfrowanego! :)

  • Jest też bat jeśli ktoś nie chce samodzielnie perfc wrzucać dodajcie info dla „mniej wprawnych” ;)

    • Zaraz dodamy. :)

    • maxprzemo

      Plik .bat tworzy trzy pliki a nie jeden:
      C:Windowsperfc
      C:Windowsperfc.dll
      C:Windowsperfc.dat

    • Zapobiega tworzeniu typowych dla Petya plików. Wystarczy zablokować jeden, w batchu zrobiono to kolwktywem.

    • gom1

      Nie, *.bat niczemu nie zapobiega. Tworzy. Tak jak pisze @maxprzemo:disqus tworzone są trzy pliki o określonych nazwach i zawartości (tekst o szczepionce), na koniec nadawany jest im atrybut +R (tylko do odczytu).

    • Piotr

      Ciekawe ile już się pojawiło tych plików wykonywalnych w sieci które w istocie są plikami wirusa :D

  • pakierhakierxd

    Temu najlepiej miec zewn dysk i co jakis czas robic backup ;)

    • Backupy to podstawa. :)

    • Drooith

      Dobrze aby jeszcze backup skonfigurować tak aby pliki backupów nie zostały zaszyfrowane. No i sam backup aby miał możliwość cofania się w czasie aby nie nadpisać sobie plików zdrowych zaszyfrowanymi.

    • kaszub

      Śmieszne. A nie lepiej przesiąść się na linuxa ?

    • gom1

      nie lepiej przesiąść się na linuxa ?

      Linux nie jest panaceum.

    • przem

      Chętnie się przesiąde jak większość oprogramowania będzie go wspierać ;-)

    • pakierhakierxd

      To sobie sie przesiadaj ja uzywalem tego szajsu jako dodatkowy ,nawet na tym nie pogralbym w gry ;) ,po tygodniu uzywania ubuntu podczas proby aktualizacji sterownika zdechl mi :D ,od tego czasu nie chce miec z linuxem doczynienia ,jedyny system ktory jeszcze jako tako mi się podoba to mac os x.

    • ZeNoN

      Zacznij od Linux Minta… Widok Unity mnie też przyprawia o mdłości

    • gom1

      Zacznij od Linux Minta

      O tak. Szczerze polecam. Mint od samego momentu instalacji wywołuje u mnie wyłącznie pozytywne wrażenia.

    • pakierhakierxd

      nie chce zadnego linuxa ,w ostecznosci jako dodatkowy Mac Os x moze kiedys ;)

    • kaszub

      Linux nie jest dla każdego.

    • pakierhakierxd

      mi nie pasuje.

    • kaszub

      Oczywiście, nie każdemu pasuje, zupełnie zrozumiałe. Ja pracuje od ok. 2 lat i sobie chwalę.

    • Paweł Ga

      Wszyscy mają się przesiąść na linuxa? ale napisałeś że nie jest dla każdego – to o co ci chodzi? :v

    • kaszub

      O nic. Ci którzy mogą i chcą to jest doskonałe rozwiązanie, obecne dystrybucje typu np. ubuntu funkcjonalnością, w moim przekonaniu, nie ustępują innym osom, a są bezpieczne w/w kontekście.

    • Tomasz

      śmiem wątpić w prawdziwość tego co napisałeś. Skoro jakoś udało Ci się uruchomić linuksa na jakimś kompie, to po tygodniu wystąpiła potrzeba aktualizowania czegoś? Sterownika? Sterownika do czego? Jakie Ty widziałeś sterowniki poza tymi które dostałeś z dystrybucją? (absolutnie nie twierdze że nie istnieją, ale chciałbym wiedzieć jaki to „sterownik” trzeba było przeinstalować po tygodniu)

    • pakierhakierxd

      Aktualizowałem sterowniki grafiki nvidia z repozytorium i po tym się sypneło ;)

    • Nose4s✓ᵛᵉʳᶦᶠᶦᵉᵈ

      To mnie zaskoczyłeś, ja jeszcze nigdy nie miałem takiego problemu, ale mam też starsze karty, więc może.

    • ja

      Złej tancerce to i majtki przeszkadzają. Ale jeśli ktoś potrafi tylko klikać w OK….
      Wiesz pan, Linux jest jak Mediamarkt :D

  • gom1

    Ciekawe czy pojawi się odmiana „wirusa”, która po wykryciu pliku perfc rozpocznie szyfrowanie natychmiast (oryginalna wersja czeka ok. 40 minut po infekcji) i bezobjawowo.

    • Miejmy nadzieję, że do tego czasu Microsoft wypuści kolektywne poprawki zamykające drogę cyberprzestępcom.

    • adamello

      Równie dobrze mógłby wykrywać plik notepad.exe ;)

    • gom1

      Bardziej mi chodziło o stwierdzenie: chcieliście wydymać Freda? To teraz Fred wydyma was ;-)

  • Mateusz

    UBUNTU ZAINSTALOWAĆ I PO PROBLEMACH. BIEDNI WINDZIARZE….

    • przeXYZmek 730714

      Też tak myślę. Mogą się śmiać dowoli, że w gry nie zagram czy inne pierdoły ale ja przynajmniej nie mam takich problemów.

    • F of X

      Jak Twoje Ubuntu będzie tak popularne jak Windows, bo będziesz miał podobne problemy. Nikomu się po prostu nie opłaca robić wirusa na to. :)

    • przem

      Dokładnie. Android to też linux a wirusy są ;-)

    • Andrzej

      Wszystko leci na jednym jądrze, czy to serwery, inteligentne AGD, systemy desktopowe, kontrola lotów w NASA czy innych wyrzutni. Więc poniekąd bardzo kuszące się wydaje napisanie jednego robala, który ogarnie to wszystko. No ale nie ma, bo sama architektura systemu jest tu zabezpieczeniem, podczas gdy w Windows wszystko ma prawa do wszystkiego i takie mamy efekty.

    • gom1

      Największym wrogiem malware dla Linuksa (też Android) jest tak krytykowana przez blogerów.. fragmentacja :-)

    • Piotr Potulski

      Problemem jest napisanie programu, który się uruchomi w miarę bezboleśnie na wszystkich tych platformach, a co dopiero wirusa.

    • Piotr Potulski

      W Windowsie, to że nie działa jest swego rodzaju wyjątkiem, dla Linuksa to „filozofia”.

    • Nose4s✓ᵛᵉʳᶦᶠᶦᵉᵈ

      Nie pamiętam, co mi ostatnio nie działało, jedynie pod wine ostatnio się Neverwinter Online spierniczył.:/

    • KornelJD

      Biedny to jesteś ty bo cię nie stać na prawdziwy komputer z MS Windows 10 ani na klucz OEM tylko co miesiąc na swojej padace co była pewnie na MS Windows XP musisz Linuksa instalować bo się wysypuje po aktualizacji bibliotek i sterowników których nie ma. Nie wspominając o programach których na Linuksie nie mai nie będzie. To jest prawdziwa bieda.

    • Mateusz

      Pudło. Stać mnie. Od 3 lat i5 i jedno Ubuntu bez żadnej re-instalki. Rozumiem, że Windziarz nie jest w stanie tego zrozumieć.

  • Adi

    Po pierwsze, robić regularnie backupy.
    Po drugie, zainstalować anty-ransomware: BitDefender Anti-ransomware, Kaspersky Anti-ransomware Tool, Malwarebytes Anti-ransomware lub RansomFree (albo przejść na Linuxa).
    Po trzecie, to nie jest Petya, tylko NotPetya: https://twitter.com/kaspersky/status/879749175570817024

    • Matt

      Taa, wole już mieć możliwość zaatakowanie przez Petya, byle tylko całego tego gówna, które wymieniłeś nie instalować. Muli komputer i wkurza na każdym kroku. z 8 lat bez antywirusa siedzę i jakoś żyje. Trzeba tylko umieć z komputera korzystać.

    • QWERTY

      Znam lepszą metodę na zabezpieczenie : robić Backkup , rozważnie korzystać z komputera i myśleć na co się kilka , wraz z technologami zabezpieczeń Windowsa nie powinieneś złapać wirusa

  • KermitTheFrog

    Jakie działanie ma sam plik ‚perfc’? Pytam szczegółowo – bo nie sztuką jest „zrobić, bo inni tak robią” :)

    • Adi
    • maxprzemo

      Sam plik nic nie robi. On ma tam po prostu być. Wirus sprawdza tylko jego obecność (nie sprawdza wielkości czy zawartości) i jeśli ten plik jest obecny to nie rozpoczyna procesu szyfrowania.
      Sama metoda nie została w 100% potwierdzona ponieważ wynika tylko z pobieżnej analizy kodu wirusa.

  • Szymon Pieprzyk

    zacytuję serwis Z3S:

    W sieci pojawia się wiele informacji o tym, jak bronić się przed opisywaną infekcją. Wszystkie są do niczego, bo do infekcji już doszło. Jeśli nie widzicie czerwonego ekranu, to w tej edycji już go nie zobaczycie. Do tego wszyscy ostrzegają przed złośliwymi załącznikami – są one dużym ryzykiem, ale prawdopodobnie nie były użyte w tej kampanii. Zamiast zatem tworzyć śmieszne foldery skupcie się na dobrych kopiach bezpieczeństwa i wykrywaniu znanych od lat narzędzi przestępców i ich aktywności w Waszej sieci.

  • Charlie Sorrow

    Co, jeśli na Windows 7 Home Premium nie posiadam przełącznika ‚Obsługa udostępniania plików SMB 1.0/CIFS’?

    • Spróbuj przez PowerShell. :)

    • Charlie Sorrow

      Po wpisaniu tej komendy i naciśnięciu Entera, praktycznie nic się nie dzieje. Możliwe, że nie mam zainstalowanej tej usługi w systemie?

    • zakius

      sprawdź w rejestrze
      wiele poleceń PS wywala cokolwiek tylko w razie błędu

  • Adi

    Tu jest bardzo dokładny opis tego ransomware i jak się zabezpieczyć przed nim: https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

  • cYk

    Klikanie na jakiekolwiek *.baty z internetu jest nieporozumieniem w obecnej sytuacji.

    • gom1

      Co za problem podejrzeć plik przed jego uruchomieniem?

    • mój nick

      Zwykle Ci co wolą gotowe baty są na tyle mało obeznani, że nie będą wiedzieć, co bat robi, skoro nie potrafią stworzyć pliku bez rozszerzenia. Aż się prosi, aby ten BAT infekował jeszcze mocniej niż zwykły wirus.

    • gom1

      Stawiam dolary przeciwko orzechom, że przeciętny Kowalski ma gdzieś szukanie rozwiązania jak uchronić się przed tytułowym ransomware. Ba, nie tylko ma gdzieś, ale nawet o nim nic nie wie. A jeśli już jesteś na portalu technologicznym i dotarłeś do tego, że „wystarczy uruchomić *.bat” to zakładam, że masz minimalną wiedzę i świadomość jak sprawdzić co dany plik zawiera i jak działa.

    • mikez88

      I tu wracamy do tego, że ktoś kto ma „minimalną wiedzę i świadomość jak sprawdzić co dany plik zawiera i jak działa” raczej nie potrzebuje bata żeby utworzyć sobie plik w folderze ;)

  • doogopis

    Ludzie jak zwykle popisali sie inteligencją,otwierają jakieś lewe maile. Wygrałeś lot na Marsa,pobierz bilet który jest w załączniku. A ci pewnie pobierają i cyk,infekcja. Do tego na kompie nasr.e wszystkiego,fotki,filmy i muza,jak to teraz odzyskać? Przecież leser nie bedzie se wszystkigo wrzucać na zewnętrzny dysk na bieżąco . A teraz płacz. Ja wszystko zgrywam,ważne rzeczy mam po 3 razy zapisane na różnych dyskach.
    A skoro można sie zarazić przez mail,to raczej ciężko! Ale ludzie otwierają byle co,bez myślenia!

    • Tomasz

      pobieżnie znam temat, ale chyba w tym przypadku było zupełnie inaczej. ktoś podmienił aktualizacje ukrainskiego programu który jest powiedzmy odpowiednikiem naszego „Płatnika” Tak wiec ludkowie pobrali program konieczny do swojej pracy z „legalnego” źródła….

    • gom1

      A powiadają, że aktualizacje są takie ważne i za wszelką cenę trzeba je aplikować..

    • doogopis

      No ja też pobieżnie ale znalazłem to.
      „Tymczasem światowi eksperci zastanawiają się, kto był autorem ataku. Zdaniem władz Ukrainy – głównej ofiary zamachu – cyberprzestępcy mogli pochodzić z Rosji. Ale informatyk, profesor Alan Woodward z brytyjskiego Uniwersytetu Surrey mówi, że nie ma na to dowodów.”
      http://www.polskieradio.pl/5/3/Artykul/1782536,Informatycy-twierdza-ze-znalezli-sposob-na-pokonanie-wirusa-Petya
      że nie ma na to dowodów!
      Taki syf to kto wie ryli skąd? Komu tu wierzyć?
      Dziwne że kasa komuś idzie na konto i jest nietykalny kompletnie. Modyfikuje sobie i inne takie. Ja to myśle że kto inny za tym stoi całkowicie.

  • Ryoko

    SmartScreen czy jakoś tak nie pozwala na uruchomienie tego pliku .bat . jak to obejść?

    • gom1

      Uruchom z konsoli (cmd.exe). Co tylko pokazuje ile warta jest ta „smart ochrona”.

    • pakierhakierxd

      zezwol na uruchomienie.,

  • Piotr Potulski

    Kurw…de – naprawdę każecie pobrać z sieci plika .bat i go uruchomić „na pałę”, jeszcze z uprawnieniami administratora?

    • Jakub Kuranda

      Przecież możesz zajrzeć do środka. Pliki .bat to skrypty, a nie skompilowane programy.

    • Piotr Potulski

      Wiem, że mogę. Wiem też dlaczego powinienem. A „gdyby to była twoja matka”?

  • pakierhakierxd

    Utworzylem plik na najwazniejszym kompie -laptopie ,zaraz jeszcze zbackupuje sobie dodatkowo (zaktualizuje zrobiony wczesniej backup danych na zewn dysku).

  • ragnar

    o jakich wy backupach mówicie piraci ??!! hehe co za chamstwo, na komputerach w nielegalne programy muzyka i filmach i boja sie to utracić bo szaleje wirus o matko…. a hakerzy sie śmieją z was jak z idiotów

  • Marek

    Po wyłączeniu w Windowsie SMB 1.0/CIFS nie ma dostępu do plików na NAS-ie

    • tho

      Bo NASy korzystają z protokołu SMB

  • tho

    gorzej jak kolejna edycja podobnego syfu będzie szukała właśnie takich plików w folderze Windowsa…

  • Adam

    Od 9 lat nie korzystam z Windowsa prywatnie. Kiedyś Ubuntu obecnie Chrome OS. Zapomniałem już co to są wirusy itd.
    Szkoda że oprócz prowadzenia firmy do czego Chromebook mi w zupełności wystarcza, pracuje jeszcze na etacie w firmie logistycznej, która Windowsem stoi … albo stała.
    Od 2 dni pracuję po 12h-16h jak wszyscy u mojego pracodawcy. Petya przeniósł naszą logistykę do XIX w. kartka, długopis i kalkulator.
    Dysk sieciowy podobno jest już nie do odzyskania. Straty idą w miliony, do czego firma nie może się przyznać, żeby nie stracić wiarygodności. A można było to wszystko robić na arkuszach googla, w jego chmurze i na jego dysku. Telekonferencje robić na hangoutach itd.
    Przez Windowsa w dzisiejszych czasach nie trzeba do kogoś wysyłać czołgów – wystarczy wcisnąć enter.

    • Adi

      Tak, chmura Google, żeby służby USA i wielkie G miały wgląd do poufnych danych dużej firmy? Chyba żartujesz. Własny serwer na aktualnym Linuxie, dobry firewall i regularne backupy to podstawa.

    • gom1

      A można było to wszystko robić na arkuszach googla, w jego chmurze i na jego dysku

      Tak naprawdę wystarczy(ł) backup.

  • ja

    A nie prościej wy…ć w kosmos Windowsa? I nie tylko z Petyą problem będzie rozwiązany :]

  • Nose4s✓ᵛᵉʳᶦᶠᶦᵉᵈ

    *Patrzy na desktop swojego Ubuntu* Whatever, man.

  • Uruchamianie nieznanego pliku bat z prawami administratora to nie jest najlepszy pomysł…
    Poza tym:
    https://zaufanatrzeciastrona.pl/post/celem-przestepcow-w-ataku-ransomware-bylo-zniszczenie-danych-nie-zarobek/

  • armv7taskforce

    ROZWIĄZANIE: Odinstalować Windows i nie korzystać z niebezpiecznego oprogramowania.

  • KornelJD

    Najprościej mieć system MS Windows 10 z najnowszymi poprawkami, nie klikać w banery oraz nie instalować dziadostwa z trojanami i malwarami. Jak się jest świadomym, inteligentnym użytkownikiem to nigdy żadnego syfu na komputer się nie złapie. Korzystałem ze wszystkich systemów MS Windows od 95 z wyłączeniem Millenium i nigdy takiego wirusa nie miałem.