Uuendus Jun 27 – 23.34 CEST:
Arvuti välja lülitamine ja uuesti mitte käima panemine võib aidata ennetada kõvaketta krüpteerimist, kuigi mitmed failid saab krüpteerida pärast seda, kui peabuutsektor (inglise keeles MBR ehk master boot record) asendatakse ja nakatumine läbi võrgu jätkub.
Uuendus Jun 27 – 22.28 CEST: Maksmine pole enam võimalik, kuna e-post, millele peaks saatma Bitcoini rahakoti ID ja isikliku installatsioonivõtme (personal installation key), on ISP poolt kinni pandud. Seetõttu ei peaks inimesed lunaraha maksma, sest neil pole võimalik saada dekrüpteerimise võtit.
UUuendus Jun 27 – 21.20 CEST: ESET-i uurijad on kindlaks teinud koha, kust see ülemaailmne epideemia alguse sai. Ründajad on edukalt ohustanud raamatupidamistarkvara M.E.Doc, mis on populaarne erinevates tööstusharudes Ukrainas, kaasa arvatud finantsasutustes. Mitmed neist viisid ellu M.E.Doc-i uuenduse, milles oli Trooja hobune, mis võimaldas ründajatel käivitada massiivne lunavara kampaania, mis levis üle kogu riigi ja sealt edasi kogu maailmasse. M.E.Doc avaldas oma kodulehel ka hoiatuse. http://www.me-doc.com.ua/vnimaniyu-polzovateley
Sotsiaalmeedias postitakse arvukalt teateid uuest lunavara rünnakust Ukrainas, mis võib olla seotud Petya Family viirusega, mille ESET on hetkel tuvastanud kui Win32/Diskcoder.C Trooja hobuse. Kui see nakatab edukalt peabuutsektorit, krüpteerib see edukalt kogu ketta. Muul juhul krüpteerib see kõik failid nagu Mischa.
Tundub, et see kasutab võrku pääsemiseks WannaCryptori poolt kasutatavat EternalBlue’d ja levib võrgustikus läbi PsExec-i.
See ohtlik kombinatsioon võib olla põhjuseks, miks see epideemia on levinud ülemaailmselt ja kiirelt, kuigi eelnevad epideemiad on tekitanud meediakajastust ning loodetavasti on enamik nõrkusi parandatud. Selleks, et pääseda võrgustikku, on vaja kõigest ühte turvaaukudega arvutit. Pahavara saab administraatoriõigused ja levib teistesse arvutitesse.
Näiteks ajakirjanik Christian Borys kirjutas Twitteris, et kuuldavasti on küberrünnak teiste seas tabanud ka panku, elektrivõrku ja postiettevõtteid. Lisaks, paistab, et ka valitsust on rünnatud. Ta postitas Twitteris ka Ukraina asepeaministri Pavlo Rozenko poolt Facebookis jagatud foto, mis näitab nähtavasti, arvutit, mida krüpteeritakse.
Ukraina rahvuslik pank jagas samuti oma kodulehel sõnumit, milles hoiatab teisi panku lunavararünnaku eest.
õnum on järgnev: „Hetkel on finantssektor tugevdanud turvameetmeid ja häkkerite vastaseid rünnakuid.“
Forbes kirjutas, et kuigi leidub sarnasusi WannaCryptoriga ning mõned kirjeldavad seda WannaCry sarnasena, siis on see ilmselt variant Petyast.
Internetis levib pilt lunavara sõnumist, mis on sarnane sellega, mille sarnast on näinud WannaCryptori ohvrid. Group-IB postitatud pildil on kirjas järgnev sõnum (parafraseeritud):
„Kui te näete seda teksti, siis teie failid pole enam ligipääsetavad, kuna need on krüpteeritud… Me garanteerime teile, et te saate oma failid lihtsalt ja turvaliselt taastada. Kõik, mida te tegema peate, on sooritama makse [$300 bitcoini] ning ostma dekrüpteerimisvõtme.”
Kuigi pressiesindaja ütles, et „sellel pole mõju elektrivarudele“, võib olla liiga vara, et seda kindlaks teha.
Lunavararünnak pole ilmselt Ukrainaspetsiifiline. Independent kirjutas, et ilmselt on mõjutatud ka Hispaania ja India ning ka Taani laevandusettevõte Maersk ja briti reklaamifirma WPP.
WPP kodulehel on kirjas järgmine sõnum: „WPP koduleht pole hetkel kättesaadav olulise rutiinnse hoolduse tõttu. Tavaline teenindus taastub peagi. Me vabandame ebameeldivuste pärast, mida see põhjustada võib. Kui te soovite WPP-ga kontakteeruda, palun saatke lehekülje toimetajale e-kiri järgnevale aadressile …“
Pärast seda kinnitas WPP Twitteris, et on langenud rünnaku ohvriks: „IT-süsteemid erinevates WPP ettevõtetes on mõjutatud kahtlustatava küberrünnaku poolt. Me kasutame asjakohaseid meetmeid ning anname muutustest teada nii ruttu kui võimalik.“
On ka teateid rünnakule vastuseks tehtavatest maksetest sellel BTC lingil.
Selleks, et Petyast rohkem teada saada, vaadake seda ülevaatlikku kirjatükki, mis mainib krüpto-lunavarast järgnevat:
„Petya lähenes teistest krüpto-lunavaradest erinevalt. Selle asemel, et faile eraldi krüpteerida, valis see sihtmärgiks failisüsteemi. Sihtmärgiks on ohvri peabuutsektor, mis vastutab operatsioonisüsteemi laadimise eest pärast süsteemi käivitamist.“
Selleks, et taolist ohtu ennetada, soovitame alati, et kõik süsteemid oleks uuendatud, et kasutate korralikku turvalahendust ning et teie võrk on osadeks jaotatud ehk segmenteeritud, mis võib aidata ennetada viiruse võrgus levimist.
Allikas: WeLiveSecurity
