Groźny atak ransomware GoldenEye / Petya na skalę światową

28 czerwca 2017 no comment adminci

Klienci korzystający z oprogramowania marki Bitdefender są chronieni.

 

Tło historii:

W przeciwieństwie do większości ramsonware, nowy wariant GoldenEye ma dwie warstwy szyfrowania: szyfrowanie plików docelowych na komputerze oraz szyfrowanie struktur NTFS. To podejście uniemożliwia ofiarom uruchamianie komputerów w środowisku systemu operacyjnego  i odzyskanie zapisanych informacji lub próbek.

Podobnie jak Petya, GoldenEye szyfruje cały dysk twardy i odmawia użytkownikowi dostępu do komputera. Jednak w przeciwieństwie do Petyi, nie ma obejścia, aby pomóc ofiarom w odzyskaniu kluczy deszyfrowania z komputera.

Co więcej,  po zakończeniu procesu szyfrowania,  ransomware ma specjalistyczną komendę, która powoduje awarię komputera prowadzącą do ponownego uruchomienia, co czyni komputer bezużytecznym do momentu zapłaty okupu w wysokości 300 USD.

Na bieżąco aktualizujemy nowe informacje:

Aktualizacja 28.06 (godz. 15.30)

Nasza wewnętrzne badania  wskazują, że niektóre infekcje #GoldenEye zostały wywołane przez zhakowaną aktualizację oprogramowania do obsługi księgowości  MeDOC. Wielu naszych klientów na Ukrainie, gdzie nasze rozwiązania przechwyciły atak, wyraźnie pokazuje, że explorer.exe uruchamia ezvit.exe, które z kolei wykonują rundll32.exe z ransomware DLL.

Możemy więc potwierdzić, że  wektorem infekcji jest aktualizacja MeDOC . Ukraina stała się pierwszą ofiarą ataku, i to właśnie stamtąd infekcja rozprzestrzeniła się przez sieci VPN do centrali firm i ich biur przedstawicielskich.

Zalecamy wszystkim firmom, które mają biura na Ukrainie, aby na bieżąco monitorowały połączenia VPN z innymi oddziałami.

Oprócz aktualizacji MeDOC, istnieją inne wektory infekcji, które sprawdzamy na bieżąco.

Aktualizacja 28.06 (godz. 07:00)

Coraz więcej dowodów wskazuje na to, że kampania #GoldenEye / #Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych

  • Wybór zwykłego, zawodnego dostawcy poczty elektronicznej, która miała pełnić rolę kanału do komunikacji, jest pod względem prowadzenia działalności gospodarczej chybioną decyzją.
  • Brak automatyzacji procesu płatności i odzyskiwania klucza sprawia, że atakujący nie są w stanie dotrzymać obietnicy.
  • Potwierdzenie płatności jest kompletnie niefunkcjonalne: użytkownik musi ręcznie wpisać bardzo długi, złożony z małych i wielkich liter ‘’personalny klucz instalacyjny’’ + „portfel” , który jak łatwo się domyśleć – jest on bardzo podatny na literówki

 

Aktualizacja 28.06 (godz. 05:00)

Adres poczty elektronicznej wykorzystywanej przez podmioty zagrażające do otrzymywania  potwierdzeń płatności został zawieszony przez Posteo. Oznacza to, że wszystkie płatności dokonywane nocą nie będą mogły zostać zweryfikowane, a zatem na pewno nie otrzymasz klucza odszyfrowywania.  Nie, że kiedykolwiek doradziliśmy inaczej, ale jeśli planujesz zapłacić okup – natychmiast o tym zapomnij. I tak stracisz dane,  a dodatkowo przyczynisz się jeszcze do finansowania nowego złośliwego oprogramowania.  Po zawieszeniu adresu email dokonano jeszcze 15 płatności. Zawartość  portfela  wynosi obecnie 3.64053686 BTC z 40 płatności,  a ich wartość netto to 9000 USD.

Aktualizacja 27.06 (godz. 20:30)

Kilka głosów w branży spekulowało, że pierwotny wektor ataku stanowiła kompromisowa aktualizacja narzędzia do zarządzania rachunkowością M.E. Doc, wykorzystywanego przez wszystkie dotknięte zagrożeniem  firmy. Potwierdziliśmy też naruszenia w firmach, które nie korzystały ze wspomnianego oprogramowania. Ponadto w artykule na profilu Fabebook firmy sprzedawca zaprzecza zarzutom [ukraiński].

Aktualizacja 27.06 (godz. 19:18)

Jak dotąd, kilka firm potwierdziło, że padły ofiarą GoldenEye / Petya ransomware. Są wśród nich system monitorowania promieniowania elektrowni  w Czarnobylu, kancelaria DLA Piper, firma farmaceutyczna Merck, banki, lotnisko, metro w Kijowie, duńska firma zajmująca się żeglugą i energią Maersk, brytyjski reklamodawca WPP i rosyjska firma przemysłu naftowego Rosnoft. Ataki rozprzestrzeniły się na Ukrainie,  dotykając Ukrenergo –  państwowego dystrybutora energii,  i kilka krajowych banków.

Aktualizacja 27.06 (godz. 17:45)

Operatorzy GoldenEye / Petya otrzymali już 13 płatności w ciągu niespełna dwóch godzin. Wynoszą one 3500 USD w cyfrowej walucie.

Aktualizacja 27.06 (godz. 17:30)

Bitdefender Labs potwierdza, że ransomware GoldenEye / Petya wykorzystuje exploity EternalBlue do rozprzestrzeniania się z jednego komputera na inny. Inne exploity są również wykorzystywane do rozprzestrzeniania. Szczegóły wkrótce.

Bitdefender blokuje aktualnie znane próbki nowego wariantu GoldenEye. Jeśli korzystasz z rozwiązania antywirusowego Bitdefender dla klientów indywidualnych lub biznesowych,  Twoje komputery nie są zagrożone.

Co to jest ransomware i jak chroni przed nim Bitdefender?

Bitdefender GravityZone posiada wielowarstwową zaawansowaną architekturę do wykrywania, zwalczania i eliminowania zagrożeń, która jest dostępna z poziomu jednej wygodnej platformy.


Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.

Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.

Źródło: Bitdefender Labs

Zapisz się do newslettera

Wyrażam zgodę na na przetwarzanie moich danych osobowych w celu wysłania newsletter\'a i otrzymywania informacji o nowościach, produktach i ofertach firmy "MARKEN SYSTEMY ANTYWIRUSOWE" Marek Markowski z siedzibą przy ul. Jana Hieronima Derdowskiego 7, 81-369 Gdynia przez Marken Systemy Antywirusowe z siedzibą w Gdyni, przy ul Jana Hieronima Derdowskiego 7 zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000). Podanie danych jest dobrowolne. Przysługuje mi prawo dostępu do moich danych oraz ich poprawiania i usunięcia.

Wyrażam zgodę na przesyłanie mi informacji handlowych drogą elektroniczną przez "MARKEN SYSTEMY ANTYWIRUSOWE" Marek Markowski z siedzibą przy ul. Jana Hieronima Derdowskiego 7, 81-369 Gdynia. zgodnie z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000)