Niezwykle niebezpieczny ransomware, Petya atakuje już na całym świecie. Ofiarami cyberataku okazały się być głównie instytucje oraz firmy właściwie z każdego sektora, choć rządy martwi paraliż energetyki, lotnisk i dużych fabryk. Nie oznacza to, że Petya nie może zaatakować Was - sprawdźcie co zrobić, żeby się przed tym uchronić!
Jak spekulowano wcześniej, źródłem zarażeń są ukraińskie infrastruktury sieciowe należące do firm oraz instytucji. Okazało się, że w popularnym oprogramowaniu w tym kraju M.E.doc podmieniono aktualizację na serwerze dystrybucyjnym, przez co Petya rozsiał się na korzystające zeń maszyny. Następnie, z pomocą sieci lokalnych wykorzystywano protokół SMBv1, a także WebDAV-y oraz LSADump. Nawet pełne zaktualizowanie mogło nie przynieść żadnego pozytywnego skutku w walce z Petya, bowiem szybko okazało się, że wystarczy, by komputer był podpięty do tej samej domeny, co zarażona maszyna, by po chwili również stać się ofiarą.
Incydenty z Petya w roli głównej okazały się tak poważne, że Beata Szydło postanowiła zorganizować sztab kryzysowy. Powodem, dla którego został on zorganizowany jest fakt, iż zaatakowano sporo instytucji oraz firm z newralgicznych dla kraju sektorów.
Pamiętaj, żeby pod żadnym pozorem nie otwierać podejrzanych załączników w wiadomościach e-mail - wykazano, iż socjotechnika również jest wektorem zarażenia w przypadku tego ransomware. Dla spokoju ducha, przystąp również do pełnego zaktualizowania swojego systemu Windows - nieważne, czy jest to wersja 7, 8.1, czy też 10. Warto dodać, że istnieje szczepionka, która przeciwdziała rozpoczęciu szyfrowania dysku nawet w przypadku, gdy Petya znajdzie się na komputerze.
Eksperci ds. cyberataków przeanalizowali działanie Petya i odkryli szczepionkę / lokalnego killswitcha, który powoduje, iż zagrożenie nie przystępuje do właściwych działań szyfrujących nawet, jeżeli pomyślnie znalazło się na maszynie i ma warunki ku temu, aby uruchomić procedurę. Wiadomo jednak, że jeżeli na dysku, w ścieżce C:\Windows znajdzie się plik o nazwie perfc (bez rozszerzenia!), Petya nie zaszyfruje dysku.
Po pierwsze, upewnij się, że w opcjach plików oraz folderów masz odznaczoną opcję ukrywania rozszerzeń znanych typów plików. Będzie Ci to potrzebne w trakcie tworzenia takiego pliku w głównym katalogu Windows.
Przejdź następnie do wspomnianego wyżej folderu (C:/Windows) i znajdź jakikolwiek plik i skopiuj go w tej samej lokalizacji. Powinien pojawić się pod postacią np. notepad.exe - kopia. Następnie, zmień jego nazwę usuwając rozszerzenie tak, aby nazywał się perfc. Za każdym razem będziesz zmuszony potwierdzać podwyższone uprawnienia w systemie, ale bez obaw. Są one podnoszone tylko na czas wykonywania danej operacji i nie mają wpływu na ogólne bezpieczeństwo Twojego komputera. Dla pewności, że wszystko jest w porządku, nadaj atrybut plikowi "tylko do odczytu": prawoklik na perfc, właściwości, zaznacz: Tylko do odczytu.
Istnieje też prostszy sposób - w sieci krąży specjalny plik .bat, który potrafi stworzyć plik perfc w katalogu Windows automatycznie. Uruchomcie go jako administrator i potwierdźcie uprawnienia.
Wiadomo, że Petya rozsiewał się w sieciach lokalnych za pomocą portu SMBv1 (czyli dokładnie tak samo, jak WannaCrypt...), a także poprzez przechwytywanie haseł dostępowych domeny za pośrednictwem usługi WebDAV.
Najprościej będzie wyłączyć całkowicie port SMBv1, który - uwaga - korzysta z rozwiązań opracowanych... trzy dekady temu. Okazało się ponadto, że jest on odpowiedzialny za propagację m. in. WannaCrypt, który również zebrał spore żniwo w sieci.
Znajdźcie ekran ustawień Włącz lub wyłącz funkcje systemu Windows, po czym znajdź przełącznik dla: Obsługa udostępniania plików SMB 1.0/CIFS. Wyłącz go, po czym uruchom ponownie komputer. Możliwe jest także wykonanie tej operacji w PowerShellu (koniecznie z prawami administratora) za pomocą komendy:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Jeżeli po nieoczekiwanym błędzie STOP, w trakcie uruchamiania systemu zobaczycie taki ekran, szybko wyłączcie maszynę! Petya w trakcie szyfrowania dysku udaje systemowy program CHKDSK i informuje o tym, że nieoczekiwane wyłączenie sprzętu może spowodować utratę danych. Nic takiego się nie stanie - odłączcie czym prędzej zasilanie i nie próbujcie nawet wykonywać ponownego rozruchu do Windows. W odzyskaniu plików pomoże Wam jakikolwiek liveCD, za pomocą którego uchronicie się przed utratą danych.
Wkrótce pojawi się więcej informacji na temat tego zagrożenia. Stale analizujemy ten temat i w ciągu najbliższych dni spodziewajcie się kolejnych publikacji o Petya. Pamiętajcie o backupach, aktualizacjach oraz metodach zapobiegania zarażeniom. Wszystkiego niezaszyfrowanego! :)
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
