מתקפת Petya: תמונת מצב של איום הסייבר החדש שמתפשט בעולם

העולם עוד לא הספיק להתאושש ממתקפת הכופר האחרונה WannaCry וכבר נאלץ להתמודד עם אחת נוספת; הנפגעת המרכזית היא אמנם אוקראינה אבל דיווחים על הדבקות הגיעו גם מישראל

אתמול (ג׳) בשעות אחר הצהריים החלה להתפשט לה במהירות שיא מתקפת כופר חדשה, זאת לאחר מתקפת WannaCry שפגעה ב-200 מדינות רק בחודש שעבר. מדינות באירופה בהן אוקראינה, רוסיה ודנמרק, דיווחו כי נפגעו על ידי האקרים שפרצו למערכות שלהם, כאשר נראה כי אוקראינה היא הנפגעת המרכזית עם מחשבי ממשלה, בנקים ונמל התעופה המרכזי שלה בקייב שנפגעו. כמו כן, נודע כי גם המערכות בכור הגרעיני בצ׳רנוביל עברו להפעלה ידנית בעקבות המתקפה. בהמשך הסתמן כי גם בריטניה ואוסטרליה (בין היתר מפעל השוקולד של ״קדבורי״) נפגעו, וכי גם חברות בישראל נפגעו.

גם אם נפגעתם – אל תמהרו לשלם

לפי חברת האבטחה ESET, הנוזקה שהתפשטה ביממה האחרונה היא ככל הנראה גרסה של תוכנת הכופר ״Petya״; אם היא מצליחה להדביק את ה-MBR (סקטור האיתחול), היא תצפין את כל הכונן. במידה ולא, היא מצפינה את הקבצים הקיימים על המחשב. הנוזקה החדשה מנצלת את פרצת SMB – EternalBlue בה השתמשו על מנת להפיץ את תוכנת הכופר WannaCry בחודש מאי כדי לחדור תחילה לרשת, ולאחר מכן זו מתפשטת ברשת דרך PsExec. הבעיה נובעת מכך שמספיק שמחשב אחד לא מעודכן, וזו תוכל לחדור לרשת, ותוביל לכך שהתוכנות זדוניות יקבלו הרשאות וזכויות מנהל כדי להפיצה למחשבים אחרים. ככל הנראה, ההדבקה מתבצעת באמצעות קובץ המצורף למייל שלאחר פתיחתו המחשב נדבק, קבציו או הכוננים בו מוצפנים ועל מנת לשחררם – ידרשו הנתקפים לשלם 300 דולר בביטקוין כמובן (ככל הנראה שולמו לתוקפים עד כה כ-7,500 דולר).

משרד החוץ של ארה״ב המליץ לקורבנות התקיפה לא לשלם את הכופר, מאחר ואין ערובה כי לאחר התשלום הם יקבלו גישה לקבצים שלהם. גם סנז ישר, ראש קבוצת המודיעין של חברת סייבריזן הישראלית מצטרפת להמלצה זו, ומסבירה כי מאחר וכתובת המייל של התוקפים נחסמה, אין באמת אפשרות לתקשר איתם לאחר העברת התשלום. עוד נמסר מחברת סייבריזן כי היא הצליחה לפצח את מרבית מהקוד של התוקפים ואף פיתחה מנגנון שיעצור את המתקפה, ומונע ממנה לפעול ולהפיץ את עצמה. אותה מערכת הגנה ישראלית הופעלה בהצלחה בשעות האחרונות במדינות רבות בעולם.

מסלול התקיפה, מקור: TrendMicro

איך מתגוננים?

נכון לרגע זה לא ידוע על התקפות במחשבי מק, אך משתמשי Windows מתבקשים להוריד את עדכון MS17-010 לחלונות (גם אם התוכנה שברשותם אינה חוקית). לאחר מכן, יש להשבית את יציאת ה-TCP 445 ולהגביל את כמות החשבונות עם הרשאת מנהל, כדי למנוע הדבקה של מחשבים נוספים.

כמו כן, תוכנת הכופר האחרונה תוקפת מחשבים ולאחר מכן יש לכם חלון זמן של שעה, עד שמתבצע אתחול מחדש. תוך כדי האיתחול, באפשרותכם לכבות את המחשב כדי למנוע את הצפנת הקבצים ולנסות להציל אותם.

 

הילה חיימוביץ׳

כתיבה הייתה עבורי מאז ומתמיד הרבה מעבר לתחביב, אך את חיבתי העזה לגאדג׳טים וטכנולוגיה גיליתי יחסית באיחור. כנראה שהגיקית שבי הייתה חבויה זמן רב, ורק חיכתה לרגע הנכון לפרוץ. בכל מקרה – היא כאן, ובכל הכוח.

הגב

13 Comments on "מתקפת Petya: תמונת מצב של איום הסייבר החדש שמתפשט בעולם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
מתן
Guest

כמה פסיכופתים יש בעולם אלוהים.

הגיע הזמן שממשלות יתחילו בתהליך נקיון שיטתי וממוסד

רוני
Guest

מתן זה לא יקרה לא תהיה התאגדות לביטול המטבעות כמטבע מחוץ לחוק
תשקיע במטבעות הוירטואלים ותקווה לעוד מתקפות
חייך
הרווחת אותה

יש שכל אין דאגות
Guest
יש שכל אין דאגות

בלינוקס זה לא היה קורה…

אני
Guest

גם בלינוקס זה קרה
היה רנסום ב transmission
וגם אחד אחר שגם לקחו אקספלויט מהNSA
כשמערכת מספיק פופולארית ייתקפו אותה

אני
Guest

נגד תוכנות כופר

תיצור בתיקיה של וינדוס
קובץ ריק
perfc
perfc.dat

למשל בעזרת cmd במצב אדמין
“” > perfc
בתיקיה של ווינדוס לא סיסטם32
ואז להפוך אותו לreadonly ככה
attrib +r perfc

בנוסף
לבטל אותם על ידי שינוי השם שלהם על ידי הוספת סיומת _.
האלה בוינדוס סיסטם32:
fsutil.exe
wevtutil.exe
schtasks.exe
shutdown.exe
.webmwmic.exe
wbadmin.exe
vssadmin.exe
syskey.exe
cipher.exe
bcdedit.exe

 גם את אלה לגבות בregedit

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsBackup

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVSSSettings

HKEY_LOCAL_MACHINESystemCurrentControlSetControlBackupRestoreSyst emStateRestore

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTSystemRestore

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerBootExecute

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSafeBoot

HKEY_LOCAL_MACHINEBCD00000000

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

hklmsystemcurrentcontrolsetservices

יש עכשיו
wannacry
cerber
petya
חדש
מהדליפה של הnsa
ומהדליפה של הקוד של הוינדוס 10 במיקרוסופט
יש עליה במתקפות

אני
Guest

זה הוריד לי הרבה מהסלאשים ככה שהכתב יצא מחובר

לירן
Guest

instruction unclear
penetrated the pentagon accidently

אלי
Guest

יותר קל לפרמט את הוירוס הזה שנקרא ווינדוס

אלייה
Guest

גם בchrome os זה לא היה קורה

אני
Guest

כי היא לא פופולארית כמו וינדוס
כל מערכת בסופו של דבר ניתנת לפריצה אם זה מספיק משתלם

No body home
Guest

פשוט תגדירו הרשאות למשתמש שלכם בלבד ולא תשתפו קובץ כל שהו ברשת קבוצתית גם אם הפרופיל שלכם יקרוס תוכלו לעשות ריבוט מחדש במצב מוגן ולשחזר את כל הקבצים שלכם .

No body home
Guest

ותמיד ניתן להגדיר מכונה וירטואלית שאלייה יבוא כל המתקפות כשהמכונה שלכם המחשב בעצם מוסתר הינה רעיון

אלי
Guest

חחחחח התקפות על Samba פורט 445, מזכיר לי את שנות התשעים כשהייתי עושה מאונט לכל מחשב כמעט דרך $IPC, ווינדוס עוד שם הא?

wpDiscuz

תגיות לכתבה: