Petya FAQ: Vad vi vet – och vad vi inte vet

Security

Kallar vi fortfarande det här utbrottet för Petya?

Ja.

”Vi har bekräftat att MBR-koden i en variant av Petya från förra december är väldigt lik den MBR-kod som finns i den här nya varianten”, säger Karmina Aquino, Service Lead på F-Secure Labs. ”Det handlar om mycket små skillnader.”

Är Petya ransomware?

Petya är ransomware.

Men gör inte Petya andra saker också, förutom att kryptera filer och hålla dem gisslan?

Petya stjäl lösenord också, men den gör det för att den behöver det. Nätverksmaskar stjäl lösenord, så Petya stjäl också lösenord.

Microsoft har rapporterat att Petya är en ”supply chain attack”, som först dök upp bland företag som använder mjukvara från M.E.Doc i Ukraina och att Petya drar nytta av kända sårbarheter som EternalBlue och EternalRomance – sårbarheter som upptäcktes av National Security Agency och släpptes tidigare i år av hackargruppen Shadow Brokers. Det betyder att det fanns en tredjepartsmjukvara på datorn som missbrukade uppdateringsprocessen för M.E.Doc – antingen genom att man manipulerade uppdateringsservern, eller att upphovsmännen bakom attacken utförde en så kallad ”man-in-the-middle”-attack.

Men det är för tidigt att säga, och egentligen för tidigt för att ens ge sig på kvalificerade gissningar.

”Det finns för mycket som vi vet att vi inte vet för tillfället”, säger Sean Sullivan, säkerhetsrådgivare på F-Secure.

Kan Petya infektera alla, inklusive hemanvändare eller ger det sig bara på nätverk?

”I våra analyser under dagen har v i sett Petya kryptera filer även om det inte är uppkopplat till ett nätverk”, säger Karmina Aquino. ”Men, baserat på de attackvägar vi har sett – och på vilka som drabbats – så verkar det vara företag som är huvudmålet. Det har också varit Petyas huvudmål i tidigare varianter.

Ligger en nationalstat bakom Petya?

”Jag skulle inte sätta pengar på det för tillfället”, säger Sean Sullivan.

”Vi har analyserat koden och än så länge har vi inte sett några bevis på att den här koden har något annat syfte än att vara just ett ransomware”, säger Karmina Aquino.

Tror vi fortfarande att ”proffs” ligger bakom Petya?

En del spekulerar i att bara för att upphovsmännen har en e-postadress som blev nedstängd av leverantören så måste det vara fråga om en nationalstat – eller ett gäng amatörer. Men det är att blunda för hur ransomware fungerar.

”Kriminella vill tjäna pengar”, säger Sean Sullivan. ”Och de kan inte använda telepati eller brevduvor för att kommunicera.”

Som Sean förklarat på Twitter finns det bara två sätt för brottslingarna att få in pengar från sina ”kunder” – e-post eller en webbportal.

När vi gjorde vår granskning av ransomware-aktörer så skötte vi så gott som all vår kommunikation och våra förhandlingar över e-post. Bara en av två ransomwarevarianter med en webbportal svarade. Alla tre grupper i granskningen som använde sig av e-post svarade, och var faktiskt ofta professionella i sitt bemötande än många traditionella mjukvaruföretag.

Finns det en ”kill-switch” i Petya?

Nej, en ”kill-switch” är en centraliserad lösning. Och det fanns egentligen ingen traditionell ”kill-switch” i WannaCry heller – det handlade om en funktion för att identifiera emulerade miljöer som kollade efter vad som egentligen skulle ha varit en icke-existerande domän. Det är något vi ser ofta, att skadlig kod har funktionalitet som ska upptäcka om de blir analyserade i en virtuell maskin. En säkerhetsforskare registrerade den uppdiktade domänen och när WannaCry fick svar så stoppades den skadliga koden från att köras.

Vi har inte sett någonting liknande i Petya.

Finns det något slags ”vaccin” mot Petya?

Skadlig kod innehåller ofta funktioner för att undvika dubble infektering, så att den inte hamnar i en oändlig – och inte särskilt produktiv – loop som dessutom gör att den riskerar upptäckt. Det finns finns gott om verktyg där ute för vanliga ransomwarevarianter som drar nytta av den skadliga kodens funktioner för att förhindra analys. Och det finns gott om skadlig kod som inte kommer att infektera dig om du använder det kyriliska alfabetet på tangentbordet, eller har en rysk IP-adress.

Det går att strössla med den här typen av markörer, som gör att den skadliga koden uppfattar dig som en virtuell maskin. Och det kan ha ungefär samma effekt som ett vaccin, men om den här typen av tricks blir för vanliga så kommer hoten att anpassas för att kringgå dem.

Det finns ett ”vaccin” mot Petya, men det är antagligen inte värt att lägga ner tiden som krävs på att implementera.

”Om du har tid för att sätta in den här typen av motmedel, så finns det bättre saker att göra än att öka skyddet mot ett ransomware”, säger Sean Sullivan. Kör Microsoft Update, ta bort mjukvara du inte använder, skaffa en lösenordshanterare, uppdatera dina lösenord…det är saker du kan göra för att skydda dig mot flera olika typer av skadlig kod. Se till att få de grundläggande sakerna på plats först.”

Här är några ytterligare saker ditt företag kan göra för att bekämpa Petya.

Ligger e-postadressen som levererar den nyckel som krävs för att avkryptera maskinen nere?

Ja, F-Secure har undersökt detta och mejlen studsar.

https://twitter.com/mikko/status/880036070267772929

E-postleverantören Posteo skriver på sin hemsida att de ”är i kontakt med myndigheter gällande informationssäkerhetsfrågor (Bundesamt für Sicherheit in der Informationstechnik)”

Kan företag betala lösensumman?

Inte i nuläget. Att mejlen ligger nere betyder att de inte kan leverera det som krävs för att dekryptera maskinerna. Men det betyder inte att de inte kan hitta ett annat sätt att få betalt – de har fortfarande tillgång till den skadliga koden via bakdörrar.

”De kanske sätter upp en webbportal”, säger Sean Sullivan. ”De kanske säljer dekrypteringsnyckeln till andra brottslingar.”

De kan också bestämma sig för att det inte är värt det och gå vidare till nya äventyr.

”Om du tycker att det låter brutalt, eller som ett slöseri så känner du inte till hur den här typen av brottslingar fungerar”, säger Sean Sullivan. ”Nästa tisdag, när nästa omgång skräppost skickas ut så kommer de att ge sig på något annat som de kan tjäna stora summor pengar på.

Jag har hört att man klarar sig om man stänger av datorn innan det falska CHKDISK-meddelandet dyker upp, stämmer det?

Det verkar dessvärre inte stämma.

https://twitter.com/r0zetta/status/880105915403448320

Finns det ett verktyg för att ta bort krypteringen som en vithatt (god hackare) har skapat?

Vi håller på och undersöker det  i detta nu.

Skyddar F-Secure mig mot Petya?

Ja, F-Secures lösningar för klientskydd skyddar mot alla varianter av Petya som vi sett.

Taggar

Betygsätt den här artikeln

0 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: