Petya Ransomware är WannaCry gjort av proffs

Hot & hack

Ett utbrott av en ovanligt otrevlig ransomware-variant håller just nu på att spridas över världen.. Och även om det finns flera likheter med förra månadens WannaCry-epidemi så varnar säkerhetsexperter för att den här varianten är mycket mer professionell, och potentiellt också kan ställa till betydligt större skada ute på företagen.

F-Secure Labs har bekräftat att det handlar om en variant av ransomware-familjen Petya och att utbrottet beter sig som en nätverksmask – och sprids genom samma sårbarhet i SMB-protokollet som WannaCry (genom att utnyttja samma EternalBlue-exploit som togs fram av NSA).

 F-Secure Labs säkerhetsexpert Jarkko beskrev Petya som ett ”ransomware med en elak sida” i ett blogginlägg från förra året. För Petya nöjer sig inte med att kryptera filerna, den krypterar hela disken – vilket i princip gör att den blir oanvändbar fram till dess att den skadliga koden är oskadliggjord.

Det här ungefär vad som kommer att möta en person som drabbas av Petya:

Exakt hur det aktuella utbrottet har spridits är dock oklart i nuläget, men slutresultatet är ungefär det samma.

 De flesta ransomware-familjer ger sig på och krypterar filer på offrets hårddisk. Det betyder att de inte kan komma åt filerna, men de kan fortfarande använda datorn och själva operativsystemet. Petya tar det hela till nästa nivå genom att kryptera delar av själva hårddisken vilket gör det omöjligt att komma åt något av innehållet, inte ens operativsystemet.

I lite mer tekniska ordalag är detta vad som händer:

  • Skadlig kod körs
  • Ett schemalagt jobb skapas för att starta om den infekterade maskinen efter en timme (ser ut så här för användaren)
  • När den väntar på omstarten så söker Petya efter andra maskiner på nätverket som den kan sprida sig vidare till.
  • Efter att ha samlat in IP-adresser att infektera så utnyttjar Petya en sårbarhet i SMB för att få in en kopia av sig själv på måltavlan.
  • Efter omstarten så påbörjas krypteringen, innan ett meddelande om lösensumma visas.

 Det här utbrottet har drabbat företag och organisationer världen över, från Frankrike till Indien, från Spanien till USA – och det finns flera exempel på drabbade svenska företag. Och precis som WannaCry så är det helt urskiljningslöst – det ger sig på alla maskiner det kan komma åt, även sådana som människor är beroende av i sin vardag, som den här bankomaten i Ukraina.

Men med WannaCry lyckades en smart säkerhetsforskare utnyttja ett slarvigt misstag som angriparna gjort för att sakta ner angreppet. Sean Sullivan, säkerhetsrådgivare på F-Secure ser inte att det kommer att hända den här gången.

”Upphovsmännen bakom WannaCry misslyckades för att de inte kunde hantera den stora mängden offer de lyckades skapa. Men det här utbrottet, som fortfarande är i början av den första vågen, verkar betydligt mera professionell – och redo att casha in”, säger Sean Sullivan. ”Amatörernas afton är definitivt över för den här gången, åtminstone när det gäller att skapa globala ransomware-attacker.”

Närmare 30 personer har – i skrivande stund – betalat angriparna för att få sina enheter upplåsta (det finns dock ännu inga bekräftelser på att det har fungerat). Tydligen har deras e-postleverantör stängt av deras konto, men enligt Sean kommer det inte att få någon större effekt – det kommer inte att förhindra den skadliga koden från att spridas.

Så – i korthet: Företag och organisationer måste iaktta försiktighet under de närmaste dagarna för att undvika att drabbas av Petya. Och eftersom det är så likt WannaCry så gäller mycket av samma råd som då:

  • Uppdatera Windows
  • Konfigurera brandväggar för att blockera inkommande trafik på port 445 (om det är möjligt)
  • Använd ett klientskydd

F-Secures produkter har flera olika typer av skyddslösningar som hjälper till att skydda kunderna från Petya och andra ransomware-infektioner.

Vi kommer att fortsätta att lägga ut uppdateringar i takt med att läget förändras, här och på F-Secure Business Security Insider. Du kan också följa F-Secures forskningschef Mikko Hyppönen på Twitter för uppdateringar i realtid,

Betygsätt den här artikeln

2 röster

2 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: