Jak wirus Petya wykorzystał WannaCry i GoldenEye?

Ransomware typu Petya szyfruje pliki i dokumenty na zainfekowanym komputerze, podobnie jak inne wirusy ransomware. To, co jest dla Patya unikalne to fakt, że zamienia on oryginalne MBR (Główne rekordy ładujące) uniemożliwiając tym samym restart systemu Windows. Nowy MBR jest zaprogramowany, by pokazywać notę ransomware, w której wytłumaczone jest, w jaki sposób ofiara ma zapłacić okup.

PetyaWrap zawiera wiele elementów skopiowanych z innych rodzajów złośliwych programów, w tym GoldenEye i WannaCry. Wykorzystanie możliwości innych wirusów sprawia, że PetyaWrap jest bardziej niebezpieczny niż jakikolwiek wariant Petya znany dotychczas.

PetyaWrap podobnie jak WannaCry samoistnie rozprzestrzenia się w sieci. Potrafi też automatycznie się kopiować, bez potrzeby otwierania zainfekowanych e-maili i załączników czy pobierania plików przez użytkowników. Nowy wariant Petya, tak jak ransomware GoldenEye, szyfruje pliki w taki sposób, by jedynie jego autorzy byli w stanie je odblokować. PetyaWrap powoduje, że dysk twardy znajduje się na poziomie sektora, przez co użytkownicy nie mogą uzyskać dostępu do dysku C:, nawet jeśli zostanie on podłączony do innego komputera.

W jaki sposób Petya rozprzestrzenia się w sieci?

PetyaWrap zaraża głównie sieci fimowe - wykorzystuje w tym celu zróżnicowane techniki zapożyczone od innych ransomware.

Po pierwsze, zapożycza on technikę od WannaCry, która wykorzystuje krytyczne luki w zabezpieczeniach Windows, które zostały skradzione z US National Security Agency (NSA) przez hakerów zwanych Shadow Brokers. Najbardziej wykorzystywaną luką Windows jest powszechnie znana luka ETERNALBLUE. Microsoft opisał ten problem w biuletynie MS17-010 wydanym w marcu - a użytkownicy, którzy pobrali aktualizację jeszcze przed atakiem WannaCry, byli przed nim całkowicie zabezpieczeni. Są również bezpieczni w przypadku próby przedostania się PetyaWrap do ich komputera przez ETERNALBLUE.

Drugim sposobem infekowania sieci przez Petya jest używanie PsExec - popularnego narzędzia Windows do zdalnego wykonywania poleceń. PsExec będący częścią pakietu Sysinternals Microsoft, jest wygodnym narzędziem do poruszania się wewnątrz sieci, chętnie wykorzystywanym przez hakerów, ponieważ jest osadzony w systemie i nie wymaga pobrania przez użytkownika. Ten sposób rozprzestrzeniania się nie działa jednak na komputerach nie posiadających uprawnień do uruchamiania poleceń na komputerze. Jest to dobry powód do tego, by nie używać kont administratorskich przez cały czas, bez względu na to jak wygodne to może być dla pracowników IT.

Trzecim sposobem wykorzystywanym przez PetyaWrap jest poszukiwanie w komputerze haseł, które umożliwią zwiększenie uprawnień dostępu i przydzielanie uprawnień administratorskich zainfekowanemu urządzeniu. Wynajdywanie haseł odbywa się przy użyciu zmodyfikowanej kopii narzędzia do zbierania haseł o nazwie LSADUMP z zestawu narzędzi Mimikatz - podobnie jak w przypadku PsExec, to narzędzie do włamywania jest wbudowane w program PetyaWrap, dlatego nie trzeba go najpierw pobierać.

W związku z różnorodnymi technikami używanymi przez PetyaWrap samo aktualizowanie zabezpieczeń Windows nie jest wystarczające - jeśli luka wykorzystywana pierwotnie przez WannaCry jest zablokowana, Petya użyje PSExec. Jeśli i ta technika okaże się nie skuteczna, wirus będzie poszukiwał haseł przy pomocy LSADUMP.

Jak zabezpieczyć się przed Petya?

- Należy upewnić się, że posiadany system posiada wszystkie aktualizacje, włączając te zawarte w biuletynie Microsoft MS17-010

- Należy rozważyć wstrzymanie działania narzędzia Microsoft PsExec na urządzeniach używanych przez pracowników.

- Należy regularnie tworzyć kopie zapasowe i przechowywać je poza siecią. Warto również szyfrować pliki, by zabezpieczać się przed ich dostaniem się w niepowołane ręce.

- Należy unikać otwierania e-maili, a zwłaszcza załączników od nieznanych adresatów