מתקפת Petya: תמונת מצב של איום הסייבר החדש שמתפשט בעולם
העולם עוד לא הספיק להתאושש ממתקפת הכופר האחרונה WannaCry וכבר נאלץ להתמודד עם אחת נוספת; הנפגעת המרכזית היא אמנם אוקראינה אבל דיווחים על הדבקות הגיעו גם מישראל
אתמול (ג׳) בשעות אחר הצהריים החלה להתפשט לה במהירות שיא מתקפת כופר חדשה, זאת לאחר מתקפת WannaCry שפגעה ב-200 מדינות רק בחודש שעבר. מדינות באירופה בהן אוקראינה, רוסיה ודנמרק, דיווחו כי נפגעו על ידי האקרים שפרצו למערכות שלהם, כאשר נראה כי אוקראינה היא הנפגעת המרכזית עם מחשבי ממשלה, בנקים ונמל התעופה המרכזי שלה בקייב שנפגעו. כמו כן, נודע כי גם המערכות בכור הגרעיני בצ׳רנוביל עברו להפעלה ידנית בעקבות המתקפה. בהמשך הסתמן כי גם בריטניה ואוסטרליה (בין היתר מפעל השוקולד של ״קדבורי״) נפגעו, וכי גם חברות בישראל נפגעו.
גם אם נפגעתם – אל תמהרו לשלם
לפי חברת האבטחה ESET, הנוזקה שהתפשטה ביממה האחרונה היא ככל הנראה גרסה של תוכנת הכופר ״Petya״; אם היא מצליחה להדביק את ה-MBR (סקטור האיתחול), היא תצפין את כל הכונן. במידה ולא, היא מצפינה את הקבצים הקיימים על המחשב. הנוזקה החדשה מנצלת את פרצת SMB – EternalBlue בה השתמשו על מנת להפיץ את תוכנת הכופר WannaCry בחודש מאי כדי לחדור תחילה לרשת, ולאחר מכן זו מתפשטת ברשת דרך PsExec. הבעיה נובעת מכך שמספיק שמחשב אחד לא מעודכן, וזו תוכל לחדור לרשת, ותוביל לכך שהתוכנות זדוניות יקבלו הרשאות וזכויות מנהל כדי להפיצה למחשבים אחרים. ככל הנראה, ההדבקה מתבצעת באמצעות קובץ המצורף למייל שלאחר פתיחתו המחשב נדבק, קבציו או הכוננים בו מוצפנים ועל מנת לשחררם – ידרשו הנתקפים לשלם 300 דולר בביטקוין כמובן (ככל הנראה שולמו לתוקפים עד כה כ-7,500 דולר).
משרד החוץ של ארה״ב המליץ לקורבנות התקיפה לא לשלם את הכופר, מאחר ואין ערובה כי לאחר התשלום הם יקבלו גישה לקבצים שלהם. גם סנז ישר, ראש קבוצת המודיעין של חברת סייבריזן הישראלית מצטרפת להמלצה זו, ומסבירה כי מאחר וכתובת המייל של התוקפים נחסמה, אין באמת אפשרות לתקשר איתם לאחר העברת התשלום. עוד נמסר מחברת סייבריזן כי היא הצליחה לפצח את מרבית מהקוד של התוקפים ואף פיתחה מנגנון שיעצור את המתקפה, ומונע ממנה לפעול ולהפיץ את עצמה. אותה מערכת הגנה ישראלית הופעלה בהצלחה בשעות האחרונות במדינות רבות בעולם.
מסלול התקיפה, מקור: TrendMicro
איך מתגוננים?
נכון לרגע זה לא ידוע על התקפות במחשבי מק, אך משתמשי Windows מתבקשים להוריד את עדכון MS17-010 לחלונות (גם אם התוכנה שברשותם אינה חוקית). לאחר מכן, יש להשבית את יציאת ה-TCP 445 ולהגביל את כמות החשבונות עם הרשאת מנהל, כדי למנוע הדבקה של מחשבים נוספים.
כמו כן, תוכנת הכופר האחרונה תוקפת מחשבים ולאחר מכן יש לכם חלון זמן של שעה, עד שמתבצע אתחול מחדש. תוך כדי האיתחול, באפשרותכם לכבות את המחשב כדי למנוע את הצפנת הקבצים ולנסות להציל אותם.
If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6
— Hacker Fantastic (@hackerfantastic) June 27, 2017
הילה חיימוביץ׳
גיקית, Deal With It
הגב
15 תגובות על "מתקפת Petya: תמונת מצב של איום הסייבר החדש שמתפשט בעולם"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
עוד מידע שלא כתבתם והיה נחמד שתוסיפו:
kill switch שמצאו: https://twitter.com/PTsecurity_UK/status/879779707075665922
עוד מקור להתפשטות (מאומת):
כמה פסיכופתים יש בעולם אלוהים.
הגיע הזמן שממשלות יתחילו בתהליך נקיון שיטתי וממוסד
מתן זה לא יקרה לא תהיה התאגדות לביטול המטבעות כמטבע מחוץ לחוק
תשקיע במטבעות הוירטואלים ותקווה לעוד מתקפות
חייך
הרווחת אותה
בלינוקס זה לא היה קורה…
גם בלינוקס זה קרה
היה רנסום ב transmission
וגם אחד אחר שגם לקחו אקספלויט מהNSA
כשמערכת מספיק פופולארית ייתקפו אותה
נגד תוכנות כופר
תיצור בתיקיה של וינדוס
קובץ ריק
perfc
perfc.dat
למשל בעזרת cmd במצב אדמין
“” > perfc
בתיקיה של ווינדוס לא סיסטם32
ואז להפוך אותו לreadonly ככה
attrib +r perfc
בנוסף
לבטל אותם על ידי שינוי השם שלהם על ידי הוספת סיומת _.
האלה בוינדוס סיסטם32:
fsutil.exe
wevtutil.exe
schtasks.exe
shutdown.exe
.webmwmic.exe
wbadmin.exe
vssadmin.exe
syskey.exe
cipher.exe
bcdedit.exe
גם את אלה לגבות בregedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsBackup
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVSSSettings
HKEY_LOCAL_MACHINESystemCurrentControlSetControlBackupRestoreSyst emStateRestore
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTSystemRestore
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerBootExecute
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot
HKEY_LOCAL_MACHINEBCD00000000
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
hklmsystemcurrentcontrolsetservices
יש עכשיו
wannacry
cerber
petya
חדש
מהדליפה של הnsa
ומהדליפה של הקוד של הוינדוס 10 במיקרוסופט
יש עליה במתקפות
זה הוריד לי הרבה מהסלאשים ככה שהכתב יצא מחובר
instruction unclear
penetrated the pentagon accidently
יותר קל לפרמט את הוירוס הזה שנקרא ווינדוס
גם בchrome os זה לא היה קורה
כי היא לא פופולארית כמו וינדוס
כל מערכת בסופו של דבר ניתנת לפריצה אם זה מספיק משתלם
פשוט תגדירו הרשאות למשתמש שלכם בלבד ולא תשתפו קובץ כל שהו ברשת קבוצתית גם אם הפרופיל שלכם יקרוס תוכלו לעשות ריבוט מחדש במצב מוגן ולשחזר את כל הקבצים שלכם .
ותמיד ניתן להגדיר מכונה וירטואלית שאלייה יבוא כל המתקפות כשהמכונה שלכם המחשב בעצם מוסתר הינה רעיון
חחחחח התקפות על Samba פורט 445, מזכיר לי את שנות התשעים כשהייתי עושה מאונט לכל מחשב כמעט דרך $IPC, ווינדוס עוד שם הא?
בסוף זה אפילו לא היה Petya, סתם יש עכשיו אלף כתבות עם טעויות בהן על הנושא