Tag Archives: NotPetya

Tarneahelaründed: võimalik mõju ja kuidas end kaitsta

Kõige suurema majandusliku mõjuga NotPetya-nimeline rünne teostati 2017. aastal, mille põhjustas kompromiteeritud raamatupidamistarkvara. Petya lunavaraga nakatunud ostukeskus Kharkyvis.

Taust

Viimastel aastatel on üha enam toimunud tarneahelaründeid, mille tagajärjel saadakse sihtmärkide võrkudele ja infosüsteemidele ligipääs ühise IT-teenusepakkuja kaudu. Oletame, et sama IT-teenusepakkuja tarkvara kasutavad nii advokaadibüroo, toidukaupluste kett kui ka ehitusettevõte. Selle asemel, et neid ettevõtteid eraldi rünnata, võib olla lihtsam kompromiteerida see tarkvara, mida nad kõik kasutavad ning selle kaudu organisatsioonide süsteemidele korraga ligi pääseda. Tarneahelaründed võivad avaldada mõju nii süsteemide käideldavusele, terviklikkusele kui ka konfidentsiaalsusele ja toovad sageli kaasa nii finants- kui ka mainekahju. Kasutades kolmanda osapoole tarkvara või riistvara, tuleb paratamatult arvestada tarneahela turvalisuse riskidega.

Lähiminevikus on toimunud mitmeid kaalukaid tarneahelarünnakuid. Kõige suurema majandusliku mõjuga NotPetya-nimeline rünne teostati 2017. aastal, mille põhjustas kompromiteeritud raamatupidamistarkvara. Rünnak oli esialgu suunatud Ukraina vastu, kuid levis kiiresti üle kogu maailma. Ründe taga oli Venemaa Föderatsiooni välissõjaväeluure küberrühmitus ning see tekitas kokku 10 miljardi USA dollari ulatuses kahju. Suurfirmadest olid ründest mõjutatud teiste seas Taani laevanduskompanii Maersk, USA farmaatsiafirma Merck, Saksa logistikaettevõte DHL ja Prantsuse ehitusettevõte Saint-Gobain.

2020. aasta detsembris sooritati ülemaailmse mõjuga tarneahelarünnak USA ettevõtte Solarwindsi Orion-nimelise tarkvara[1] vastu. Rünnakut on nimetatud ka IT-maailma Pearl Harboriks. Pahavara levitati tarkvarauuenduse kaudu, mille tuhanded Orioni kasutajad pahaaimamatult endale alla laadisid. Rünnak mõjutas kuni 18 000 sihtmärgi IT-taristut. Nende sihtmärkide hulka kuulusid ka USA valitsusasutused (Pentagon, sisejulgeolekuministeerium, välisministeerium, energeetikaministeerium ja rahandusministeerium) ning suurettevõtted nagu MicrosoftIntel ning Cisco. Rünnaku taga oli Venemaa Föderatsiooni välisluurega seotud küberrühmitus.

2021. aasta juulis tehti tarkvarafirma Kaseya vastu lunavararünnak, mida seostatakse Venemaal tegutseva küberrühmitusega REvil. See mõjutas ligi 1500 ettevõtet 17 riigist, mis kasutasid Kaseya pilvepõhist lahendust IT-süsteemide kaughalduseks. Rünnaku üheks ohvriks oli näiteks ka COOPi kauplusekett Rootsis, mis pidi sulgema ligi 500 poodi, sest nende arveldussüsteemid ei töötanud [2].

Euroopa küberagentuuri ENISA analüüsi[3] kohaselt avastati 2020. aasta jaanuarist kuni 2021. aasta juulini 24 tarneahelarünnakut. 50% juhtudest olid rünnakute taga riiklikud küberrühmitused. Tõenäoliselt on tarneahelarünnete arv tõusuteel, sest nende potentsiaalne mõjuulatus on tihti lai, muutes ründevektori ärakasutamise pahalastele ahvatlevaks.

Tarneahela turvalisuse teema olulisust kirjeldab ka tõik, et selle jaoks on loodud Euroopa Komisjonis vastav töögrupp, kus osalevad paljud liikmesriigid, nende hulgas ka Eesti. Rahvusvahelisel tasandil on samuti loodud mitmeid tarneahela turvalisusega seotud dokumente, näiteks eelpool viidatud ENISA raport ja USA riikliku standardite ja tehnoloogia instituudi NIST (National Institute of Standards and Technology) ning USA valitsuse küber- ja teabetaristu turvalisuse agentuuri CISA (Cybersecurity and Infrastructure Security Agency) koostöös valminud dokument.

Millised on erinevad viisid tarneahelarünnakute läbiviimiseks?

  • Kesksete tarkvarauuenduste kaudu süsteemide kompromiteerimine. Paljude seadmete ja tarkvarade tootjad pakuvad oma klientidele võimalust uuendada tooteid automaatselt. Sageli pakutakse uuendusi läbi kesksete serverite. Kui ründajal õnnestub kompromiteerida süsteem, mis uuenduste jagamisega tegeleb, annab see talle võimaluse manipuleerida klientidele jagatavate uuendustega ja seeläbi kompromiteerida ka klientide süsteemid. Sellist ründetüüpi kasutati NotPetyarünnakus 2017. aastal. 
  • Tarkvarakoodi usaldusväärsuse ja terviklikkuse kinnitamiseks mõeldud sertifikaatide kuritarvitamine. Legitiimsete programmide terviklikkuse ja usaldusväärsuse tõestamiseks mõeldud sertifikaatide varastamise korral on ründajal võimalik jätta mulje, et pahavara näol on tegu usaldusväärse programmiga. 2022. aasta märtsis tabas videokaartide tootjat NVIDIA küberrünnak, mille tagajärjel õnnestus kurjategijatel varastada ka kaks ettevõtte programmide usaldusväärsuse ja terviklikkuse kinnitamiseks kasutatud sertifikaati.[4] Selle abil on võimalik pahalasel jätta ohvri Windowsi operatsioonisüsteemile mulje, et pahavara näol on tegu NVIDIA draiveritega ning seeläbi lihtsamalt ohvrite masinates seda käivitada[5].  
  • Avaliku lähtekoodihoidla kompromiteerimine. Repositoorium ehk hoidla on keskkond, mille kaudu on võimalik näiteks koodimuudatusi ülesse või alla laadida. Ründajal on võimalik lähtekoodihoidla kompromiteerida ja sinna lisada pahaloomuline koodijupp. Kõik, kes selle muudetud koodiga tarkvara endale alla laevad, võivad nakatuda pahavaraga. Ründajaks võib olla nii pahaloomuliste kavatsustega tarkvaraarendaja kui ka kolmas osapool, kes on saanud pearepositooriumile ligipääsu. Näiteks 2020. aastal avastas GitHubi turvatiim, et GitHubi kasutavad 26 avatud lähtekoodiga tarkvaraprojekti olid kompromiteeritud. Projektide koodid sisaldasid Octopus Scanneri nimelist pahavara, mis võimaldas ründajatel tarkvara allalaadijate süsteemi paigutada tagaukse[6].
  • Pahaloomulise komponendi lisamine riistvarale. Lisaks tarkvaraga seotud tarneahelarünnakutele oleks teoorias võimalik sooritada rünne ka riistvara abil. Kuigi selle kohta puuduvad hetkel ametlikult kinnitatud elulised näited, on mitmed uurijad leidnud, et pahaloomulise mooduli lisamine riistvara komponendile rünnaku läbiviimiseks on teostatav. Näiteks õnnestus ühel Rootsi uurijal edukalt ühildada pahaloomuline mikrokiip ühe võrguseadme emaplaadiga, mille abil oli tal võimalik luua seadme süsteemi uus kõrgendatud õigustega kasutaja [7]. Mikrokiibiga pääses ta ligi võrguseadme konfiguratsiooniseadetele, mille abil oleks tal olnud võimalik tekitada seadmele kaugligipääs, eemaldada seadme turvameetmed või uurida seadmega seotud logisid.

Mõju Eestis

Eesti organisatsioonid ei ole jäänud tarneahelarünnakutest puutumata, kuid seni on rünnakute mõju ulatus olnud siiski suhteliselt väike. 

2017. aastal jõudis NotPetya rünnaku mõju Eesti ettevõteteni, kuna Prantsuse tööstusgruppi Saint-Gobaini kuulusid mitu Eesti ettevõtet. Ehituse ABC sulges oma kauplused rünnaku tõttu umbes nädalaks. Lisaks olid mõjutatud ka klaasitootja GLASSOLUTIONS Baltiklaas ning uuringufirma Kantar Emor [8]. Klaasitootja kuulub samuti Saint-Gobaini gruppi ning tehase arvuteid ei olnud võimalik ründe tagajärjel kasutada. Kantar Emor sulges enda arvutisüsteemid ennetavalt, kuid teadaolevalt nende süsteeme ei krüpteeritud [9].

Venemaa agressiooni tõttu Ukrainas on küberrünnakute ja sealhulgas ka tarneahelarünnakute oht Eestis tavapärasest suurem. Esiteks tõdeti aprillis avaldatud Microsofti raportis, et juba 2021. aasta keskpaigaks olid võtnud Venemaaga seotud küberrühmitused sihikule teenusepakkujad Ukrainas ja mujal maailmas, et tagada edasine juurdepääs mitte ainult Ukraina IT-süsteemidele, vaid ka NATO liikmesriikide süsteemidele laiemalt [10]. Rünnak Viasati KA-SAT võrgusüsteemi pihta 24. veebruaril mõjutas kümnete tuhandete ettevõtte klientide internetiühendust nii Ukrainas kui ka mujal Euroopas[11].  

Teiseks kasutatakse väliseid teenusepakkujaid nii Eestis kui ka mujal maailmas üha rohkem, sest see on kuluefektiivsem. Seega ei sõltu Eesti organisatsioonide küberturvalisus paraku ainult nende enda süsteemidest vaid ka välistest teenusepakkujatest. Üheks tarneahelarünnakute potentsiaalse kasvu võimalikuks põhjuseks on ka asjaolu, et sihtmärkideks valitud organisatsioonide infosüsteemide turvameetmed on liiga heal tasemel ja neid on keeruline otse rünnata. Seega analüüsitakse ründe planeerimisel väliseid teenusepakkujaid, kelle süsteemide kaudu õnnestuks seatud pahaloomulised eesmärgid saavutada. 

Kolmandaks on potentsiaalselt võimalik saavutada tarneahelarünnakuga palju suuremat mõju võrreldes sellega, kui rünnata sihtmärki otse. Näiteks oleks võimalik tarneahelarünnakuga krüpteerida lisaks teenusepakkuja süsteemidele ka klientide süsteemid. See tekitab ründajale palju laiaulatuslikuma mõjupositsiooni, mida tihti sihtmärkide survestamiseks saab ära kasutada.  See tähendab seda, et kui ründaja näiteks ohvriga läbirääkimisi peab, siis saab ta viidata, et on krüpteerinud ka mitmete teenusepakkuja klientide süsteemid ning seeläbi mõjutada teenusepakkujat lunaraha maksma. 

Nõuanded

  1. Soovitame organisatsioonidel läbi mõelda, kuidas hallata logisid ja monitoorida oma võrke nii, et sissemurdmise ja muu pahaloomulise tegevuse puhul jääks sellest märk maha. Erinevaid ründeid on keeruline uurida, kui puuduvad logid ja tõestusmaterjal. Logisid soovitame minimaalselt säilitada vähemalt ühe aasta.
  2. Jagage erinevaid õiguseid ja ligipääse lähtuvalt vähima õiguse printsiibist. See tähendab, et tuleb kaardistada täpselt, millised õigused ja ligipääsud on kasutajale või programmile töö tegemiseks vajalikud ning anda õiguseid üksnes lähtuvalt sellest (mitte rohkem).
  3. Võrk tuleks segmenteerida. Erinevate eesmärkidega teenused ja seadmed peaksid asuma erinevates võrkudes või tsoonides ning nende ligipääsud üksteisele peavad olema piiratud, lähtudes vähima õiguse printsiibist. Soovitame lisainformatsiooni saamiseks tutvuda Eesti infoturbestandardi peatükiga “NET.1.1: Võrgu arhitektuur ja lahendus” siin.
  4. Võimalusel veenduge selles, et lepingupartnerite turvaauditid on tehtud ning nendes on kaetud organisatsiooni jaoks olulised valdkonnad. Selle tagamiseks tuleks võimalusel sõlmida leping, milles oleksid eelnimetatud punktid kajastatud. 
  5. Pöörake tähelepanu tarneahela turvalisusega seotud riskihaldusele: dokumenteerige teenusepakkujad ja määratlege, millised riskid võivad kaasneda kolmanda osapoole tarkvara või riistvara kasutamisega.
  6. Määrake toodete ja teenuste turbenõuded ning kajastage need kahepoolses lepingus. 
  7. Kontrollige, kas lepingus sätestatud küberturbenõuetest peetakse kinni ja tehke kindlaks, kuidas teenusepakkuja intsidente, haavatavusi, turvapaikasid ja turvanõudeid käsitleb.
  8. Riskide vähendamiseks soovitame tutvuda Eesti infoturbestandardi (E-ITS) riskihaldusjuhendiga (siin) kui ka standardi rakendamisega laiemalt.

[1] Orion on IT-taristu haldus- ja monitoorimistarkvara

[2] https://www.bbc.com/news/technology-57707530

[3] https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

[4] https://cyware.com/news/nvidias-code-signing-certificates-stolen-and-abused-in-attacks-3cc710e1

[5] https://blog.malwarebytes.com/awareness/2022/03/stolen-nvidia-certificates-used-to-sign-malware-heres-what-to-do/

[6] https://www.techtarget.com/searchsecurity/news/252483808/Supply-chain-attack-hits-26-open-source-projects-on-GitHub

[7] https://www.wired.com/story/plant-spy-chips-hardware-supermicro-cheap-proof-of-concept/

[8] https://blog.ria.ee/petya-voi-notpetya/

[9] https://www.err.ee/604539/rahvusvahelise-kuberrunnaku-tottu-suleti-koik-ehituse-abc-poed

[10] https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/

[11] https://www.viasat.com/about/newsroom/blog/ka-sat-network-cyber-attack-overview/

Petya või… NotPetya

Autor: CERT-EE

Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky LabComae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

  • kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
  • failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
  • olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

Lisalugemist leiate allolevatelt veebilehtedelt: