התקפת רנסומווריה של פטיה: כיצד ומי נגוע; איך לעצור את זה

מתקפת כופר חדש שמשתמשת בגרסה שונה של הפגיעות של EternalBlue שניצלה במתקפות WannaCry עלתה ביום שלישי וכבר פגעה בלמעלה מ- 2000 מחשבים אישיים ברחבי העולם בספרד, צרפת, אוקראינה, רוסיה ומדינות אחרות.

ההתקפה פגעה בעיקר בעסקים במדינות אלה, בעוד בית חולים בפיטסבורג, ארה"ב נפגע גם הוא. קורבנות הפיגוע כוללים בין היתר את הבנק המרכזי, הרכבות, אוקרטלקום (אוקראינה), רוזנט (רוסיה), WPP (בריטניה) ו- DLA פייפר (ארה"ב).

בעוד המספר הגבוה ביותר של זיהומים נמצא באוקראינה, השני בגובהו ברוסיה, ואחריו פולין, איטליה וגרמניה. חשבון הביטקוין שקיבל תשלומים השלים יותר מ- 24 עסקאות לפני כיבויו.

קרא גם: האקרים של Petya Ransomware מאבדים גישה לחשבונות דואר אלקטרוני; הקורבנות השאירו תקועים.

למרות שההתקפה אינה מכוונת לעסקים בהודו, היא פגעה בענקית הספנות AP מולר-מרסק ונמל ג'ווהארל נהרו נמצא תחת איום מכיוון שהחברה מפעילה את מסופי השערים בנמל.

כיצד מתפשטת פטי Ransomware?

תוכנת הכופר משתמשת בניצול דומה ששימש בהתקפות הנספה של WannaCry בקנה מידה גדול בתחילת החודש, אשר מכוונו מכונות הפועלות בגירסאות מיושנות של Windows, עם מעט שינויים.

ניתן לנצל את הפגיעות באמצעות ביצוע קוד מרחוק במחשבים עם מערכת הפעלה Windows XP למערכות Windows 2008.

תוכנת הכופר מדביקה את המחשב ומפעילה אותו מחדש באמצעות כלי מערכת. לאחר אתחול מחדש, הוא מצפין את טבלת MFT במחיצות NTFS ומחליף את ה- MBR באמצעות מטעין מותאם אישית המציג את פתק הכופר.

על פי מעבדות קספרסקי, "כדי לתפוס אישורים לפיזור, כלי הכופר משתמשים בכלים מותאמים אישית, א-לה מימיקץ. אלה מוציאים אישורים מתהליך lsass.exe. לאחר החילוץ, תעודות מועברות לכלים של PsExec או WMIC להפצה בתוך רשת."

מה קורה לאחר זיהום מחשב?

לאחר שפטיה מדביק מחשב, המשתמש מאבד גישה למכשיר שמציג מסך שחור ועליו טקסט אדום שכותרתו כך:

"אם אתה רואה טקסט זה, הקבצים שלך אינם נגישים יותר מכיוון שהם מוצפנים. אולי אתה עסוק בחיפוש אחר דרך לשחזר את הקבצים שלך, אך אל תבזבז את זמננו. איש אינו יכול לשחזר את הקבצים שלך ללא שירות הפענוח שלנו."

ויש הוראות לגבי תשלום של 300 $ בביטקוינס ודרך להכנס למפתח הפענוח ולאחזור הקבצים.

כיצד להישאר בטוחים?

נכון לעכשיו, אין שום דרך קונקרטית לפענח את הקבצים המוחזקים בבני ערובה על ידי תוכנת הנסיון Petya מאחר והיא משתמשת במפתח הצפנה מוצק.

אולם אתר האבטחה Bleeping Computer מאמין שיצירת קובץ לקריאה בלבד בשם 'perfc' והצבתו בתיקיה של Windows בכונן C יכולה לעזור לעצור את ההתקפה.

חשוב גם שאנשים, שעדיין לא עשו זאת, יורידו ומתקינים מייד את התיקון של מיקרוסופט עבור מערכות הפעלה ישנות של Windows המסיימת את הפגיעות אותה נוצל על ידי EternalBlue. זה יעזור להגן עליהם מפני התקפה של זן זדוני דומה כמו פטיה.

אם המכונה מופעלת מחדש ואתה רואה הודעה זו, כבה מייד! זהו תהליך ההצפנה. אם אתה לא מדליק, הקבצים בסדר. pic.twitter.com/IqwzWdlrX6

- האקר פנטסטי (@hackerfantastic) 27 ביוני 2017

בעוד שמספר ועוצמת ההתקפות של תוכנות כופר גדל עם כל יום שחולף, עולה כי הסיכון לזיהומים חדשים פוחת משמעותית לאחר השעות הראשונות של ההתקף.

קרא גם: Ransomware התקפות בעלייה: הנה איך להישאר בטוחים.

ובמקרה של פטיה, אנליסטים צופים שהקוד מראה שהוא לא יתפשט מעבר לרשת. איש לא הצליח עדיין לברר מי אחראי להתקפה זו.

חוקרי אבטחה עדיין לא מצאו דרך לפענח מערכות הנגועות על ידי תוכנת הרישומון Petya ומכיוון שאפילו אי אפשר ליצור קשר עם ההאקרים כעת, כל מי שנפגע יישאר כך לעת עתה.