Atentie la noul atac ransomware Petya: ce este, cum te protejezi

1

petya

Ieri lumea a asistat la un nou atac cibernetic construit pe baza leak-urilor ShadowBrokers pentru exploit-urilor făcute de NSA (același EternalBlue). După WannaCry, lansat acum câteva săptămâni avem acum Petya (sau Petrwrap/wowsmith123456), un nou malware care s-a răspândit extrem de repede din Europa, vizată fiind în special Ucrania – cumva nu mă miră, Ucraina e țara în care cineva (poate Rusia?) își face de cap și testează de timpuriu atacurile malware pe care le folosește ulterior în alte scopuri.

Așa că … ATENȚIE MAXIMĂ! Petya e mult mai distructiv decât WannaCry pentru că până acum nu există opțiuni de decriptare. Petya, față de WannaCry criptează discul și nu mai permite nici măcar pornirea sistemului de operare. În schimbul decriptării (NU VĂ RECOMAND SĂ FACEȚI ASTA!) creatorii cer plata a 300 USD în bitcoin. Din câte am înțeles câțiva au plătit, dar nu și-au decriptat datele – în plus, adresa de email la care trebuia trimisă dovada plății a fost suspendată, așa că cei care ar putea să dea cheia de decriptare nu prea mai au cum opera.

Asta nu înseamnă că infecția nu se propagă. Din contră, crește în Rusia, Ucraina, Spania, Franța, Marea Britanie, India, afectând printre altele bănci, spitale, magazine și companii mari. Ca și WannaCry, Petya se răspândește exploatând vulnerabilitatea Windows SMB v1.

Vă dați seama că ați fost infectați dacă sistemul vi se restartează din senin: la o oră de la infecție sistemul e repornit de Petya, care printr-un task special începe să cripteze discul, pornind cu MFT (master file table) ceea ce face ca MBR-ul să nu mai fie valid.

Teoretic sunteți în siguranță dacă aveți instalate toate update-urile de Windows. Totuși, ca să fiți siguri că nu vă infectați ați putea să vă luați măsuri suplimentare.

Cum te protejezi de Petya?

Cel mai simplu ar fi să creați un fișier cu numele perfc în C:\Windows și să îl setați ca fiind Read Only.

Alternativa este să fiți siguri că ați instalat patch-ul MS17-010. Activați apoi orice soluție de securitate folosiți și dezactivați protoculul SMB 1 (Apăsați START, scrieți Windows Features, deschideți fereastra de configurare și debifați SMV 1.0/CIFS file sharing. Apăsați apoi OK).

Și bineînțeles, aplicați toate update-urile de securitate pentru Windows!

1 COMENTARIU

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here