Atac Petans Ransomware: Com i Qui està infectat; Com aturar-lo
Un nou atac de ransomware que utilitza una versió modificada Vulnerabilitat d’EternalBlue explotat a la web WannaCry ataca va sorgir dimarts i ja ha tocat més de 2000 ordinadors a tot el món a Espanya, França, Ucraïna, Rússia i altres països.
L'atac s'ha orientat principalment a negocis d'aquests països, mentre que un hospital de Pittsburg, EUA, també ha estat afectat. Les víctimes de l’atac són el Banc Central, Ferrocarrils, Ukrtelecom (Ucraïna), Rosnett (Rússia), WPP (Regne Unit) i DLA Piper (EUA), entre d’altres.
Mentre que el nombre més gran d’infeccions s’ha trobat a Ucraïna, el segon més alt a Rússia, seguit de Polònia, Itàlia i Alemanya. El compte de bitcoin que accepta pagaments havia finalitzat més de 24 transaccions abans de tancar-lo.
També llegiu: Els pirates informàtics Petya Ransomware perden accés a comptes de correu electrònic; Les víctimes van quedar encallades.Tot i que l'atac no va dirigit cap a empreses de l'Índia, va dirigir el gegant marítim AP Moller-Maersk i el port de Jawaharlal Nehru està en amenaça ja que la companyia opera els terminals de la porta al port.
Com es difon el Petans Ransomware?
El ransomware utilitza una explotació similar usada en els atacs de ransomware WannaCry a gran escala a principis d’aquest mes, que va dirigir les màquines amb versions obsoletes de Windows, amb una modificació petita.
La vulnerabilitat es pot explotar mitjançant una execució de codi remota en ordinadors executant Windows XP als sistemes Windows 2008.
El ransomware infecta el PC i el reinicia mitjançant les eines del sistema. Al reiniciar, xifra la taula MFT en les particions NTFS i sobreescriu el MBR amb un carregador personalitzat que mostra la nota de rescat.
D'acord amb Kaspersky Labs, 'Per capturar credencials de difusió, el ransomware utilitza eines personalitzades, a la Mimikatz. Aquests treuen les credencials del procés lsass.exe. Després de l'extracció, les credencials es passen a les eines PsExec o WMIC per a la distribució dins d'una xarxa. '
Què passa després que s'hagi infectat un ordinador?
Després que Petya infecti un ordinador, l'usuari perd accés a la màquina que mostra una pantalla negra amb text vermell a la mateixa que es diu així:
'Si veieu aquest text, els fitxers ja no són accessibles perquè s'han xifrat. Potser esteu ocupats a buscar una manera de recuperar els vostres fitxers, però no perdreu el temps. Ningú pot recuperar els vostres fitxers sense el nostre servei de desxiframent. '
I hi ha instruccions sobre el pagament de 300 dòlars a Bitcoins i una manera d’introduir la clau de desxifració i recuperar els fitxers.
Com romandre segur?
Actualment, no hi ha una forma concreta de xifrar els fitxers ostentats pel ransomware Petya ja que utilitza una clau de xifrat sòlida.
Però lloc web de seguretat Equip de buidatge creu que crear un fitxer de només lectura anomenat 'perfc' i col·locar-lo a la carpeta Windows de la unitat C pot ajudar a aturar l'atac.
També és important que la gent, que encara no ho tingui, descarregui i instal·li immediatament el pegat de Microsoft per a sistemes operatius Windows antics que posin fi a la vulnerabilitat explotada per EternalBlue. Això els ajudarà a protegir-los contra un atac d'una malaltia similar de malware com Petya.
Si la màquina es reinicia i veieu aquest missatge, apagueu immediatament. Aquest és el procés de xifrat. Si no us engegueu, els fitxers estan bé. pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic (@hackerfantastic) 27 de juny del 2017
Si bé el nombre i la magnitud dels atacs de ransomware augmenten amb cada dia que passa, ho és va suggerir que el risc de noves infeccions disminueix considerablement després de les primeres hores de l’atac.
I en el cas de Petya, els analistes prediuen que el codi no es difondrà més enllà de la xarxa. Ningú ha estat capaç d'esbrinar qui és el responsable d'aquest atac.
Els investigadors de seguretat encara no han trobat una manera de desxifrar els sistemes infectats pel ransomware Petya i, ja que fins i tot els hackers no es poden contactar ara, tots els afectats continuaran sent així.
