Nový ransomwarový útok na Ukrajine
AKTUALIZOVANÉ. Ukrajina hlási nový ransomwarový útok na princípe podobnom ako WannaCryptor. Informácie ešte len prichádzajú a preto tento článok bude priebežne aktualizovaný.
Ukrajina hlási 27.6.2017 masívny hackerský útok, ktorý bol uskutočnený pomocou ransomwaru. Princíp tohto útoku je podobný ako u WannaCryptor. Ransomware tentokrát napáda a zmocňuje sa súborového systému. Taktiež sa zmocňuje zavádzacieho súborového systému pre operačný systém MBR (master boot record), ktorý sa spúšťa pri bootovaní, štarte systému.
Ransomware si vyžaduje výkupné. Po zaplatení požadovanej sumy sa odošle požiadavka na CNC systém k útočníkom, a ransomware následne vyžiada dekryptovací kľúč, ktorý odšifruje zablokovaný MBR.
Podľa najnovšich informácií je platba nemožná. Preto bezpečnostní expreti by mali upozorniť všetky obete tohto útoku, aby nevykonávali platbu, pretože poskytovateľ vypol ID peňaženku pre Bitcoin platbu. Platba by neprebehla a obete zašiforvaných počítačov nedostanú šifrovací kľúč.
Vypnutie počítača a opätovné spustenie systému by mohlo zabrániť šifrovaniu disku, hoci niekoľko súborov môže byť už po výmene MBR šifrovaných.
Škodlivý softvér využíva princíp ExternalBlue, ktorý je navrhnutý pre dokonalé šírenie sa po sieti. Tento algoritmus bol využitý aj u WannaCryptor. Ransomware využíva aplikáciu PSeXEC na šírenie v sieti. To bolo následkom rýchleho šírenia tohto útoku v celých sieťach energetických spoločností ale aj vládnych inšitúciách. Využíva jeden nezabezpečený počítač v celej sieti, získa prístupvé údaje k administrátorskému účtu a následne tieto údaje využíva pre šírenie sa v sieti ďalej.
Média ohlasujú na Ukrajine tento útok a pravdepodobne súvisí s ransomwarovou skupinou Petya. Ak úspešne infikuje MBR, šifruje celý disk sám. V opačnom prípade šifruje všetky súbory.