iPon Hírek

Minden eddiginél kifinomultabb zsarolóvírus terjed

Dátum | 2017. 06. 28.
Szerző | J.o.k.e.r
Csoport | FŐ EGYSÉG

Mi történt? Tegnap óriási pánikot okozott egy új zsarolóvírus, amely a korábban ismertté vált Petya alapjaira épül, de sokkal kifinomultabb nála, sőt, a nemrégiben hódító útjára indult Wanna Cry is csak „kiscserkész” hozzá képest. A támadássorozat az aktuális információk szerint Ukrajnából indult, ahol bankokat, közintézményeket és kórházakat vett célba a zsarolóvírus, de az Antonov repülőgépgyár számítógépeit, valamint egyes kormányzati rendszereket és a csernobili sugárzásmérő rendszert is sikerült megfertőznie. Ez persze csak a jéghegy csúcsa, hiszen a felsoroltak mellett a legnagyobb orosz olajvállalatot, a Rosznyeftet is támadás érte, ezzel együtt pedig nagy külföldi vállalatok, mint például a TESA, a MARS (Royal Canine), a TNT, a Nivea, a Maersk és még sok egyéb cég is kellemetlen perceket élt át az új zsarolóvírus miatt. Hogyan fertőz? A Petya módosított változata a korábbi kiadás boot loaderét használja, egyéb komponensek terén azonban megújult, sokkal kifinomultabb lett. Terjedése eltér a Wanna Cry-étól, ugyanis nem interneten keresztül, hanem helyi hálózaton belül fertőz, az adott hálózatba pedig biztonsági réseken keresztül, vagy e-mail csatolmányaként kerülhet be, de alkalmazás-frissítés részeként is érkezhet.
Az új és a régi Petya közötti különbségek egy része
Egyelőre néhány bizonyíték alapján úgy tűnik, hogy a zsarolóvírust egy ukrán könyvelőszoftver, a MeDoc megfertőzésével sikerült több millió számítógépre eljuttatni, amelyekre alkalmazás-frissítés formájában került fel. Ha az adott rendszerre felkerül, a helyi hálózaton úgy tud terjedni, mint a WannaCry: a már ismert és javított EternalBlue SMBv1 exploiton keresztül. Az új Petya zsarolóvírus persze nem csak ezt a biztonsági rést használja a terjedésre, hanem újításként a Windows Management Instrumentation Commandline (WMIC) és a PSExec segítségét is. A zsarolóvírus jelszavak és belépési kódok után kutat a helyi számítógépen, majd ha sikerrel jár, a PSExec segítségével – amivel különböző távoli feladatok végezhetőek a távoli rendszereken – további rendszereket is megfertőz, amennyiben adminisztrátori jogokkal hozzáfér a helyi hálózat számítógépeihez. Az ESET biztonságtechnikai kutatói szerint elég, ha az adott hálózatban csak egyetlen olyan PC van, ami nem tartalmazza a frissítést a korábbi biztonsági résre, utána már a frissítéssel rendelkező rendszereket is meg tudja fertőzni a zsarolóvírus. Mit okoz? A mutáns Petya zsarolóvírus az adott rendszerre kerülve azonnal nekilát a jelszavak és a belépési adatok keresésének, majd a helyi hálózatot szkennelve az összes lehetséges konfigurációt megfertőzi – ez viszonylag gyorsan történik. Miután az adott rendszert megfertőzte, új célpontok után néz, de a helyi hálózaton belül marad. A fertőzött rendszereknél időzített újraindítást állít be, amire a fertőzéstől számított egy óra múlva kerül sor. Újraindítás közben lezárja az MFT/MBR szektort, ezzel a rendszer indításképtelenné válik, az adatok pedig hozzáférhetetlenek lesznek, hála a titkosításnak – és erre az sem megoldás, ha az adattárolót másik gépbe helyezzük.
A kijelzőn egy figyelmeztetés jelenik meg, amelyben 300 dolláros váltságdíjat kér a zsarolóvírus gazdája, és a fizetéshez szükséges lépéseket is leírja. A figyelmeztetésben megadott e-mail cím már nem aktív, azt ugyanis a szolgáltató hamar blokkolta, így jelenleg nincs értelme váltságdíjat fizetni, hisz a feloldó kulcsot úgysem kapjuk meg. Biztonsági mentésből lehet csak helyreállítani a rendszert, az adatok pedig elvesznek. Legalábbis ma, június 28-án még ez a tényállás, de a kutatók most is folyamatosan vizsgálják a zsarolóvírust, így a helyzet változhat. Intő jel, amely láttán azonnal érdemes kikapcsolni a PC-t
Egyes források szerint a zsarolóvírus által újraindított számítógépeken egy lemezellenőrzőhöz (CHKDSK) hasonló folyamat indul el, ami látszólag a C meghajtó javítását végzi, valójában azonban magáról az adattitkosító folyamatról van szó. Ha a fenti képet látjuk, érdemes azonnal kikapcsolni a rendszert, így ugyanis a teljes titkosítás elkerülhető. Megoldás az aktiválódás ellen?
Egyes weboldalakon a további terjedést megállító leírás is olvasható, ami a Windows könyvtáron belül egy perfc nevű fájl létrehozását ajánlja, ugyanis ennek a fájlnak a meglétét ellenőrzi a titkosítás megkezdése előtt a mutáns Petya zsarolóvírus. A trükk működőképességét több kutató is megerősítette. Ki a felelős? Nos, ezt így konkrétan még nem lehet tudni, de egyre valószínűbb, hogy egy profi alvilági kiberbűnöző csapat hozta létre a Petya alapjaira épülő, jelenleg több néven is emlegetett zsarolóvírust. A mutáns Petya, NotPetya, Petna és sok egyéb néven futó zsarolóvírus alapját a tavalyi Petya kódjának egy része adja, amihez számos kiegészítést írtak. Ez a zsarolóvírus nem tartalmaz ordító hibákat, mint a Wanna Cry, valamint úgynevezett „kill switch” sincs benne, így távoli leállítására sincs lehetőség.
A Wanna Cry terjedését egyébként ez a „kill switch” állította meg, amit egy brit biztonságtechnikai kutató fedezett fel és aktivált. Aggasztó viszont, hogy a jelek szerint alvilági kiberbűnöző-hálózat lehet a dolog mögött, akik egy újfajta terjesztési módot találtak: jutalékot adnak mindazoknak, akik terjesztik a zsarolóvírust. Az együttműködő feleket a DarkWeben keresik, a jutalék pedig az áldozatok által befizetett váltságdíj 85%-a – 15% a készítőket illeti.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

35. hcsa
2017.06.28. 13:05
De örülnék, ha ezeknek a készítőit Kínában vagy vmelyik arab államban állítanák bíróság elé....
 
Válasz írásához előbb jelentkezz be!
34. TheEnginee... hcsa
2017.06.28. 13:22
Messze tul lagyszivu vagy!
 
Válasz írásához előbb jelentkezz be!
33. Resike
2017.06.28. 13:32
Ezért nevetséges ha valaki C:\Windows\ mappába telepíti a rendszerét egy érzékeny gépen. A csodálatos hekkerek meg képtelenek egy olyan malware-t írni ami detektálná hogy hova is van telepítve a Windows?
 
Válasz írásához előbb jelentkezz be!
32. Kogeru
2017.06.28. 13:39
Itt inkább lustaságról van szó, minek auto-detektálni ha az emberek nagyrésze úgyis az általad megadott helyre rakja?
Ebből a helyi hálózatos dolgoból is le lehet szűrni szintén inkább cégeket céloznak.
 
Válasz írásához előbb jelentkezz be!
31. _Berci_ Resik...
2017.06.28. 14:13
Tök mindegy hol van a windows " %Windir% " úgyis oda vezet, és nem kell detektálni
 
Válasz írásához előbb jelentkezz be!
30. grrrgo
2017.06.28. 15:37
1. Kérdés: Melyik Windows verziókon fertőz? (WinXP-->Win10)
2. Az MS kiadott-e már biztonsági frissítést a különböző verziókhoz?
 
Válasz írásához előbb jelentkezz be!
29. mikej95 TheEn...
2017.06.28. 15:37
North Korea best Korea, de általában megússzák. Az a baj, ha nem, akkor is valami luxusbörtönben végzik.
 
Válasz írásához előbb jelentkezz be!
28. katt777
2017.06.28. 15:42
Kész szerencse, hogy az eddigi hasonló (és más egyéb) vírusok bizonyítottan a jenki titkosszolgálatoktól kerültek ki. Biztosan meg fogják büntetni őket! Eleve információszerzésre találták ki az Internetet, amerikai kormányzati hivatal ellenőrzi, szóval miről beszélünk, amikor ilyen-olyan tartalmak és vírusok terjednek gyárilag beépített hardveres (processzorokban OS-t megkerülve!) és szoftveres nagykapukon keresztül? No meg persze a userek ostobasága sem lebecsülendő. Volt cég, ahol rendszergazdaként feleannyi fizetést ígértek, mint másutt gépjavításért, hát csak veszítsék az adataikat.
Biztonsági frissítés = hátsó bejárat áthelyezése!
 
Válasz írásához előbb jelentkezz be!
27. developer
2017.06.28. 15:55
Ennek nincs más célja, csak a rombolás és a netes terrorveszély növelése, a cél pedig az, hogy mindneképpen frissítsd a windowsodat, még ha XP-ről is van szó (mikorfos egy ettől független hiba miatt még arra is ad frissítést éppen). Gondolom a valós veszély (backdoor, kémszoftver) pont a win frissítéssel jön. Sima liba.
 
Válasz írásához előbb jelentkezz be!
26. dobko
2017.06.28. 16:04
Többről szól ez, mint sima pénzfejés szerintem. A kérdés csak az, hogy ebben mennyire vannak benne a kormányok és a többi "dógatlan"...
 
Válasz írásához előbb jelentkezz be!
25. Mosdatlan_... hcsa
2017.06.28. 16:27
Ha jól értelmezem, akkor ez a vírus is az - állítólag - NSA által kreált exploitra épül. Akkor most itt kinek nagyobb a felelőssége, aki a lehetőséget adta (szándékosan) vagy annak, aki élt vele ?
 
Válasz írásához előbb jelentkezz be!
24. djkissmrt
2017.06.28. 16:36
Ott van a bitcoin számla amire a pénzt kérik, járjanak utána a hatóságok hogy kinek a tulajdona, ennyi lenne...
 
Válasz írásához előbb jelentkezz be!
23. BiroAndras grrrg...
2017.06.28. 16:40
A cikkben le van írva, hogy elsődlegesen ugyanazt a sebezhetőséget használja, mint a Wanna Cry, az pedig már rég javítva van. Ez annyiban ügyesebb, hogy a lokális hálón már enélkül is tud terjedni, ha a jogosultságok nincsennek rendesen beállítva.
 
Válasz írásához előbb jelentkezz be!
22. BiroAndras devel...
2017.06.28. 16:59
Ne aggódj, az NSA kémcuccai ennél sokkal mélyebben be vannak építve. Találtak már kémprogramot HDD vezérlőben, sőt, olyan is volt, hogy egy alapvető titkosító szabványba volt beépített hátsó ajtó. Mindössze annyi kellett, hogy a szabvány által javasolt prím számokat használja az implementáció, és az NSA máris simán hozzáfért bármihez, ami azzal volt titkosítva.
Nem kell nekik windows frisstéssel vacakolni. Ezzel szemben az ilyen vírusok ellen nagyon hatékony védelem.

Amúgy, ha már backdoor kell nekik, miért pont frissítéssel jönne, miért ne lenne alapból beépítve? Vagz miért ne települne automatikusan egy szó nélkül?
 
Válasz írásához előbb jelentkezz be!
21. RealDreamQ
2017.06.28. 17:12
Az új Petya ransomware áldozatai hiába fizetnek, nem fogják visszakapni az állományaikat.

A „problémát" az jelenti, hogy a német Posteo levelezőszolgáltató letiltotta az e-mail címet, így az áldozatok hiába küldözgetnek rá e-maileket, a Petya mögött álló bűnözők nem fogják megkapni azokat. Ennek következtében nyilván válaszolni sem tudnak rájuk, hogy visszaküldjék a feloldókulcsokat
 
Válasz írásához előbb jelentkezz be!
20. fofoka Resik...
2017.06.28. 17:43
Ez aztán komoly védelem, máshova telepíteni a Windowst. Látom, értesz hozzá! :-)
 
Válasz írásához előbb jelentkezz be!
19. astronaut_... BiroA...
2017.06.28. 17:47
"ha a jogosultságok nincsenek rendesen beállítva"

Ha a lokális hálón 4 gép van, mezei user (rendszergazda jogok nélkül), akkor nem kell aggódni?
 
Válasz írásához előbb jelentkezz be!
18. Renhoek
2017.06.28. 18:07
Legál Win 10 is veszélyes? Nem írják le sehol melyik OS érintett...
 
Válasz írásához előbb jelentkezz be!
17. scdlsc
2017.06.28. 18:15
Egészen elképesztő, hogy mennyi ostoba embernek van internethozzáférése. (És most az itt kommentelőkre gondolok.)
 
Válasz írásához előbb jelentkezz be!
16. BiroAndras astro...
2017.06.28. 19:16
Elvileg a PSExec használatához admin jogok kellenek a célgépen. Szóval elméletileg nincs gond. Viszont ez a kérdés eleve csak akkor merül fel, ha egy gépet már megfertőzött a vírus, szóval aggódni azért kell.

A legfontosabb, hogy a gépek legyenek rendszeresen frissítve, legyen rajtuk egy jó vírusírtó, és minden fontos adatról legyen rendszeres offline mentés. Ez az utolsó a legfontosabb, mert hiába van akármennyi mentésed, ha elérhetőek a vírus számára, akkor azokat is titkosítja.
Egy ismerős cégénél volt ilyen még karácsony előtt. Hiába volt évekre visszamenőleg napi mentés, a vírus megette az összeset, és végül kénytelenek voltak fizetni jó sok pénzt.
 
Válasz írásához előbb jelentkezz be!
15. BigBrother
2017.06.28. 20:31
Én a biztonság kedvéért azért lefuttattam a nopetyavac.bat -ot...
készít három apró állományt, amivel becsapja petyát...
[LINK]
 
Válasz írásához előbb jelentkezz be!
14. Lazahunter Resik...
2017.06.28. 22:06
Az ok, hogy nem értesz hozzá ... de akkor miért is kell ítélettel indítani a mondókát? Szerinted ha a Windows maga tudja, hogy hová van telepítve, akkor azt nem tudhatja meg kapásból bárki? Persze lehet próbálkozni azzal, hogy a környezeti változókat kiirtod, csak aztán ne csodálkozz, hogy semmi sem fog működni
 
Válasz írásához előbb jelentkezz be!
13. hgabi84
2017.06.29. 01:37
A "Petya" és "NotPetya" nevű zsarolóvírusok ellenszere
 
Válasz írásához előbb jelentkezz be!
12. developer BiroA...
2017.06.29. 10:29
Úgy vélem, hogy a régi módszerek kezdenek elavulni, házilag is felfedezhetőek, ezért kell új backdoor, ami egységes minden windows gépen. Vagy egy új, sokkal hatékonyabb bejáratot készítettek, és ezt kell elterjeszteni.

Az automatikusan települő frissítések pont most kerültek kikapcsolható állapotba win10-en is, ha jól emlékszem. Így kell valami, ami miatt valószínűleg biztosan települ az új kapu.

http://inforadio.hu/bulvar/2017/06/29/fegyverkiserlet_volt_petya_tamadasa/

"A Nemzeti Közszolgálati Egyetem kiberbiztonsági szakértője szerint fegyverkísérlet volt a két napja elindult globális vírustámadás."

 
Válasz írásához előbb jelentkezz be!
11. developer devel...
2017.06.29. 10:31
http://www.atv.hu/kulfold/20170629-fordulat-megsem-zsarolovirus-pusztitott-vegig-a-vilagon

"A Kaspersky közleményében figyelmeztet, hogy az elmúlt napokban lezajlott tömeges vírusfertőzésben Petya, ExPetr és NotPetya nevet kapott kártevők által kódolt adatállományt a "váltságdíj" kifizetése esetén sem lehet helyreállítani.

A fertőzés természetét elemezve a Kaspersky szakemberei megállapították, hogy a fertőzést terjesztők célja nem anyagi haszonszerzés, hanem a gépek adatállományának az elpusztítása volt. "
 
Válasz írásához előbb jelentkezz be!
10. sancii54
2017.06.29. 11:20
Csak a találgatás megy... de lehet, hogy a valódi okát még maga a készítő csapat sem tudja, hanem egyszerűen csak szabadjára engedte és később meglátja, mit lehet vagy miket lehet vele kezdeni. Még az is megeshet, hogy az összes felmerülő cél együttesen lehet a céljuk. De amúgy meg, ha neadjisten mezei gépre felkerülne egy ilyen, rendszerformázás és mehet a béke seggébe a vírus.
 
Válasz írásához előbb jelentkezz be!
9. Resike Lazah...
2017.06.29. 11:44
Hát persze mert a környezeti változók marhára működnek boot előtt...És én nem értek a dolgokhoz.
 
Válasz írásához előbb jelentkezz be!
8. Resike fofok...
2017.06.29. 12:14
Igen hogyha ilyen vadbarmok írnak malware-t mint ezek, és a vicc az egészben hogy egy ilyen kóklerek által össze-pastelt vírus bénítja le a fél világot:

Ha nincs C:\Windows\ mappád nem találja meg a rundll-t:

https://pbs.twimg.com/media/DDV1aC0XcAEMJIY.jpg

Ha nincs C:\ meghajtód nem törli le a log fájlokat, nem találja meg az ntdll-t, nem képes lecrashelni a rendszered "HardError"-al:

https://pbs.twimg.com/media/DDVt6OgXUAERvWg.jpg

Vagyis annyit csinál hogy újraindítja a rendszeredet egyszer. Komoly vírus.
 
Válasz írásához előbb jelentkezz be!
7. BiroAndras devel...
2017.06.29. 13:10
Mint már írtam, ha a nagyok kémkedni akarnak, nem szorulnak rá ilyen trükkökre. Mi értelme rávenni a felhasználót, hogy önként telepítse a cuccodat, ha simán felrakhatod észrevétlenül is. Az egyetlen magyarázat az lehetne, hogy így legális, de nem az, úgyhogy ez az érv se játszik.

Abban viszont kételkedem, hogy csak a károkozás lett volna a cél. Akkor minek titkosítani a fájlokat, meg pénzt követelni. Mért nem jó simán felülírni az adatokat?
Amúgy is elég amatőrnek tűnik a kivitelezés.
Azt el tudom képzelni, hogy nem komoly tmadásnak szánták, hanem csak ilyesztegetésnek, és szándékosan olyan, hogy könnyen megállítható.
Ebben az a jó, hogy segít a világnak felkészülni erre a fajta fenyegetésre is, anélkül, hogy túl nagy kárt okozna.
 
Válasz írásához előbb jelentkezz be!
6. Kogeru
2017.06.29. 13:23
"Abban viszont kételkedem, hogy csak a károkozás lett volna a cél. Akkor minek titkosítani a fájlokat, meg pénzt követelni. Mért nem jó simán felülírni az adatokat?"
Indok, valós szándék elrejtése pl?
Lehetne hozni történelmi példát, de még a végén azt hiszik az emberek hogy fólia sisakot viselek.
 
Válasz írásához előbb jelentkezz be!
2017.06.29. 15:49
Vadbarmok, akik az utóbbi évek legsikeresebb vírus támadását vitték véghez. Ja, komolytalan szar az egész. Egy vicc... Bármelyik vérpisti programozó jobbat írna, bármikor.

Btw, minek keresné, hogy hol a felhasználó windows -a? A kiskaput maguknak rakják be, pontosan tudja, mit és hol fog keresni. Nem kell megcsinálni univerzálisra, mert mégis minek..?
 
Válasz írásához előbb jelentkezz be!
4. Asagrim Resik...
2017.06.29. 16:56
%Windir%?
 
Válasz írásához előbb jelentkezz be!
3. Resike eriol
2017.06.29. 18:10
Szerintem te nem vagy tisztában akkor hogy mi is egy vírus lényege.

Valamint egy vírus megírása, terjesztése és sikeressége között elég nagy elvi és gyakorlati különbségek vannak.

Inkább az a nevetséges hogy ez a szar világszerte bedöntött olyan rendszereket ahol a rendszergazdák semmit sem csinálnak a fizetésük elfüstölése mellett.
 
Válasz írásához előbb jelentkezz be!
2. Asagrim Resik...
2017.06.30. 06:42
Hahó, válaszolj már, mi az istennek kell neked elérési útvonal, ha ott vannak a környezeti változók?! Telepítheted akárhova a Windowst, a %WinDir% változó értéke mindig a Windows telepítési útvonala!
 
Válasz írásához előbb jelentkezz be!
1. Resike Asagr...
2017.06.30. 11:17
Mit válaszoljak?

1. Környezeti változó nincsen bootlás előtt.
2. A malware hardcoded C:\Windows\ mappával lett megírva. És a vicc az az hogy a kártékony szoftverek nagy része is így van megcsinálva.

Innentől kezdve mi szerepe van a %WinDir%-nek?
 
Válasz írásához előbb jelentkezz be!