86

Sprawdź jak ochronić się przed ransomware Petya – poradnik

Niezwykle niebezpieczny ransomware, Petya atakuje już na całym świecie. Ofiarami cyberataku okazały się być głównie instytucje oraz firmy właściwie z każdego sektora, choć rządy martwi paraliż energetyki, lotnisk i dużych fabryk. Nie oznacza to, że Petya nie może zaatakować Was - sprawdźcie co zrobić, żeby się przed tym uchronić!

Jak spekulowano wcześniej, źródłem zarażeń są ukraińskie infrastruktury sieciowe należące do firm oraz instytucji. Okazało się, że w popularnym oprogramowaniu w tym kraju M.E.doc podmieniono aktualizację na serwerze dystrybucyjnym, przez co Petya rozsiał się na korzystające zeń maszyny. Następnie, z pomocą sieci lokalnych wykorzystywano protokół SMBv1, a także WebDAV-y oraz LSADump. Nawet pełne zaktualizowanie mogło nie przynieść żadnego pozytywnego skutku w walce z Petya, bowiem szybko okazało się, że wystarczy, by komputer był podpięty do tej samej domeny, co zarażona maszyna, by po chwili również stać się ofiarą.

Incydenty z Petya w roli głównej okazały się tak poważne, że Beata Szydło postanowiła zorganizować sztab kryzysowy. Powodem, dla którego został on zorganizowany jest fakt, iż zaatakowano sporo instytucji oraz firm z newralgicznych dla kraju sektorów.

Co możesz zrobić, żeby nie zarazić się ransomware Petya?

Pamiętaj, żeby pod żadnym pozorem nie otwierać podejrzanych załączników w wiadomościach e-mail – wykazano, iż socjotechnika również jest wektorem zarażenia w przypadku tego ransomware. Dla spokoju ducha, przystąp również do pełnego zaktualizowania swojego systemu Windows – nieważne, czy jest to wersja 7, 8.1, czy też 10. Warto dodać, że istnieje szczepionka, która przeciwdziała rozpoczęciu szyfrowania dysku nawet w przypadku, gdy Petya znajdzie się na komputerze.

Eksperci ds. cyberataków przeanalizowali działanie Petya i odkryli szczepionkę / lokalnego killswitcha, który powoduje, iż zagrożenie nie przystępuje do właściwych działań szyfrujących nawet, jeżeli pomyślnie znalazło się na maszynie i ma warunki ku temu, aby uruchomić procedurę. Wiadomo jednak, że jeżeli na dysku, w ścieżce C:\Windows znajdzie się plik o nazwie perfc (bez rozszerzenia!), Petya nie zaszyfruje dysku.

Jak stworzyć plik perfc na maszynie z Windows na pokładzie?

perfc, petya, szczepionka na petya

Po pierwsze, upewnij się, że w opcjach plików oraz folderów masz odznaczoną opcję ukrywania rozszerzeń znanych typów plików. Będzie Ci to potrzebne w trakcie tworzenia takiego pliku w głównym katalogu Windows.

szczepionka na petya

Przejdź następnie do wspomnianego wyżej folderu (C:/Windows) i znajdź jakikolwiek plik i skopiuj go w tej samej lokalizacji. Powinien pojawić się pod postacią np. notepad.exe – kopia. Następnie, zmień jego nazwę usuwając rozszerzenie tak, aby nazywał się perfc. Za każdym razem będziesz zmuszony potwierdzać podwyższone uprawnienia w systemie, ale bez obaw. Są one podnoszone tylko na czas wykonywania danej operacji i nie mają wpływu na ogólne bezpieczeństwo Twojego komputera. Dla pewności, że wszystko jest w porządku, nadaj atrybut plikowi „tylko do odczytu”: prawoklik na perfc, właściwości, zaznacz: Tylko do odczytu.

Istnieje też prostszy sposób – w sieci krąży specjalny plik .bat, który potrafi stworzyć plik perfc w katalogu Windows automatycznie. Uruchomcie go jako administrator i potwierdźcie uprawnienia.

Warto też rozprawić się z portem SMBv1

Wiadomo, że Petya rozsiewał się w sieciach lokalnych za pomocą portu SMBv1 (czyli dokładnie tak samo, jak WannaCrypt…), a także poprzez przechwytywanie haseł dostępowych domeny za pośrednictwem usługi WebDAV.

Najprościej będzie wyłączyć całkowicie port SMBv1, który – uwaga – korzysta z rozwiązań opracowanych… trzy dekady temu. Okazało się ponadto, że jest on odpowiedzialny za propagację m. in. WannaCrypt, który również zebrał spore żniwo w sieci.

wyłączanie SMBv1, szczepionka na petya

Znajdźcie ekran ustawień Włącz lub wyłącz funkcje systemu Windows, po czym znajdź przełącznik dla: Obsługa udostępniania plików SMB 1.0/CIFS. Wyłącz go, po czym uruchom ponownie komputer. Możliwe jest także wykonanie tej operacji w PowerShellu (koniecznie z prawami administratora) za pomocą komendy:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Po wszystkim nie zapomnijcie uruchomić komputera ponownie.

Jeżeli zobaczysz taki ekran – nie panikuj! Petya właśnie Cię dopadł, ale jest na niego sposób

petya, chkdsk, ransomware

Jeżeli po nieoczekiwanym błędzie STOP, w trakcie uruchamiania systemu zobaczycie taki ekran, szybko wyłączcie maszynę! Petya w trakcie szyfrowania dysku udaje systemowy program CHKDSK i informuje o tym, że nieoczekiwane wyłączenie sprzętu może spowodować utratę danych. Nic takiego się nie stanie – odłączcie czym prędzej zasilanie i nie próbujcie nawet wykonywać ponownego rozruchu do Windows. W odzyskaniu plików pomoże Wam jakikolwiek liveCD, za pomocą którego uchronicie się przed utratą danych.

To jeszcze nie koniec wieści o Petya

Wkrótce pojawi się więcej informacji na temat tego zagrożenia. Stale analizujemy ten temat i w ciągu najbliższych dni spodziewajcie się kolejnych publikacji o Petya. Pamiętajcie o backupach, aktualizacjach oraz metodach zapobiegania zarażeniom. Wszystkiego niezaszyfrowanego! :)