Af Torben B. Sørensen, 28/06/17
Truslen viser sig i form af en besked til brugeren om, at vedkommendes filer er krypteret. Den ligner den velkendte Petya-ransomware. Nogle sikkerhedsforskere er dog i tvivl, om det er en variant af Petya. Derfor kaldes den også for NotPetya.
Programmet kræver 300 dollars i løsesum, der skal overføres til en Bitcoin-konto. Endvidere skal offeret sende en række tekniske informationer om det inficerede system til bagmændene via en mail-adresse. Den er nu lukket, så det er ikke muligt at sende oplysningerne. Dermed kan ofre ikke modtage en nøgle, der dekrypterer de ramte filer.
Ransomwaren bruger mindst tre metoder til at sprede sig. Den udnytter en sårbarhed i SMB (Server Message Block), som blev kendt via angrebsprogrammet Eternalblue. Det er den samme metode, som WannaCry anvendte.
Endvidere indsamler den passwords fra arbejdslageret på den maskine, den har inficeret. Hvis maskinens bruger har administratorprivilegier på nettet, giver det programmet mulighed for at inficere andre computere på det.
Det sker via funktionen Psexec, der gør det muligt at afvikle programmer på andre pc'er.
Øjensynlig scanner programmet kun det interne netværk for potentielle ofre. Det er med til at begrænse spredningen. I går rapporterede sikkerhedsfirmaet Kaspersky om over 2.000 angreb. Over halvdelen var i Ukraine.
Hvordan truslen spredes på internettet er ukendt. Sikkerhedsforskere har ikke fundet en e-mail med et link eller vedhæftet fil, der kan have startet infektionen.
Ifølge sikkerhedsfirmaet ESET kan en del firmaer være ramt, fordi de bruger økonomisoftware fra det ukrainske softwarehus M.E. Doc. ESET mener, at en version af firmaets software blev inficeret. Da kunderne opdaterede deres software, blev de ramt.
M.E. Doc oplyste i første omgang, at det var korrekt. Men senere har firmaet trukket bekræftelsen tilbage. Det oplyser nu, at infektionen ikke kan være sket ad den vej.
Softwaren fra M.E. Doc er udbredt i Ukraine.
Sikkerhedsforsker Amit Serper har opdaget en metode til at forhindre ransomwaren i at køre på en pc. Hvis en skrivebeskyttet fil ved navn Perfc ligger i mappen C:\Windows, holder krypteringsrutinen op med at køre.
Anbefaling
Opdater operativsystemer og applikationer. Tag backup. Beskyt mod angreb med antivirus, firewalls og andre metoder.
Links
- Everything you need to know about the Petya, er, NotPetya nasty trashing PCs worldwide, artikel fra The Register
- Pnyetya: Yet Another Ransomware Outbreak, blogindlæg af The Grugq
- Schroedinger’s Pet(ya), analyse fra Kaspersky
- New WannaCryptor-like ransomware attack hits globally: all you need to know, blogindlæg fra ESET
- Complex Petya-Like Ransomware Outbreak Worse than WannaCry, artikel fra Kaspersky Threatpost
- Større ransomware-kampagne pågår, information fra Center for Cybersikkerhed
- Large-Scale Ransomware Attack In Progress, Hits Europe Hard, blogindlæg fra Trend Micro
- Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak, artikel fra BleepingComputer
- Email Provider Shuts Down Petya Inbox Preventing Victims From Recovering Files, artikel fra BleepingComputer
- New ransomware, old techniques: Petya adds worm capabilities, blogindlæg fra Microsoft Malware Protection Center
- Petya Ransomware Attack – What’s Known, blogindlæg af MalwareTech
- Ransomwareangreb rammer bredt, DKCERT, 27-6-2017