Globální útok ransomware NotPetya

28. 6. 2017

Včera se objevil nový ransomware, který je podobný ransomware Petya. Tedy infikuje MBR a dělá falešný chkdsk, při němž zašifruje soubory. Nový ransomware je zřejmě od stejného autora, ale od původního Petya se trochu liší, proto bývá označován NotPetya nebo SortaPetya.

Nákaza se začala šířit jako aktualizace ukrajinského účetního software M.E.Doc, nyní už se ale šíří globálně a používá EternalBlue jako WannaCry a navíc EternalRomance, zranitelnost portu 445.

Ransomware vyžaduje zaplacení asi 300 dolarů v bitcoinech a poslání „instalačního“ klíče na email wowsmith123456@posteo.net. Ten však německá firma Posteo již blokuje, tedy platit nemá cenu.

Amid Serper našel „vakcínu“, která sice nebrání šíření, ale zabrání zašifrování vašeho počítače. Stačí vytvořit RO soubor C:\Windows\perfc.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

28. 6. 2017 8:38

archemone (neregistrovaný)

len taký postreh. prečo to útočí iba na MBR a na GPT nie?
som laik, nebránim sa žiadnemu normálnemu vysvetleniu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 8:49

misaz (neregistrovaný)

Protože GPT se používá zejména na PC s UEFI, kde utoku zabrání secureboot. Vývoj podpory GPT tedy nemá smysl.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 14:40

misaz (neregistrovaný)

Protože GPT se používá zejména na PC s UEFI, kde útoku zabrání secureboot. Vir by musel přepsat v UEFI registrovaný soubor .efi (např: grub.efi někde v EFI oddílu) za svůj (to udělat může, navíc docela jednoduše) akorát v tom okamžiku UEFI do tohoto přepsaného souboru nenabootuje, protože to secureboot zastaví.

Tím že útok cílí na počítače s Windows, zejména uživatelů nic moc zkušených (tedy uživatelů těžko schopných si secure boot vypnout) a pokud vím dobře, tak instalátor Windows >= 8 si s 64 bitovou edicí GPT a UEFI vynucuje, vývoj podpory GPT tedy nemá příliš smysl. Procento "zásahů" kdy to bude fungovat by bylo velmi nízké a procento těch kteří by v takovéto exotické kombinaci konfigurace systému zaplatili lze předpokládat rovno 0.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 14:49

Bez přezdívky

Zdraví, mám pocit že instalace Windows (ať už 8 či novější) nic nevynucuje. Je na vás zda spustíte instalaci v UEFI modu či v "legacy" s MRB
Při UEFI se pak musí použít GTP - to ano.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 8:50

Fík

Zlatý podporovatel

UEFI v GPT bývá podepsané, což je složitější

pokud to ale dobře chápu UEFI-secureboot počítač bude nakažený a zašifrovaný, jen se mu nezobrazí ta vyděračská obrazovka, která se právě děje přes změněný MBR
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 9:34

Fík

Zlatý podporovatel

oprava: bez MBR se asi nezašifruje
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 12:09

prophet (neregistrovaný)

u UEFI by to mohlo nakazit přes ESP ne? tam si může dát každej systém svoje, tím pádem zlý kód by mohl modifikovat to, co už tam je..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 13:43

Pali (neregistrovaný)

Áno, sú ale ešte tri potrebné veci:
1) Operačný systém musí umožniť do ESP partície zapísať nový bootovateľný EFI súbor, prípadne prepísať exisujúci. Čo môže SecureBoot pozitívny OS ale zakázať.
2) Operačný systém musí umožniť prepísať EFI premenné a nastaviť aby nový EFI súbor mal najvyššiu prioritu pri bootovaní (opäť to OS/SecureBoot môže zakázať).
3) Ten EFI súbor musí byť podpísaný kľúčom od Microsoftu (resp. kľúčom, ktorý je uložený vo firmware). Inak ho UEFI/SecureBoot nenabootuje.

Nie je to úplne nereálne, zvlášť ak sa to skombinuje s nejakou bezpečnostnou chybou v UEFI (resp. SecureBoot-e), ale určite zložitejšie a pracnejšie ako vo svete MBR...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 6:50

archemone (neregistrovaný)

Vďaka všetkým za vysvetlenie. Už mi je to jasné.