Povzetek
Izsiljevalska okužba je 24. oktobra 2017 okužila večje število sistemov v Rusiji, Ukrajini, Bulgariji, Turčiji in drugod. Prvi podatki kažejo na izboljšano različico predhodne različice okužbe NotPetya. Glede na trenutno znan seznam kompromitiranih spletnih strani, je malo verjetno, da bi se okužba v tej fazi širila še na druga področja. Na SI-CERT nismo prejeli prijave o okužbi sistema znotraj Slovenije.
Širjenje okužbe
Zbrane informacije kažejo na izvorno širitev okužbe prek škodljive kode zamaskirane kot popravek za Flash predvajalnik. Širitev se izvaja prek kompromitiranih spletnih strani, ki imajo podtaknjeno JavaScript kodo. Slednja uporabniku prikaže pop-up okno, ki od njega zahteva namestitev Flash predvajalnika, ki pa je zgolj krinka za namestitev virusa.
V primeru uspešne okužbe se slednja poskuša razširiti tudi na druge sisteme v lokalnem omrežju prek protokola SMB. Različica izsiljevalske okužbe se po dosedaj znanih podatkih pri tem ne poslužuje skupka ranljivosti znanega kot EthernalBlue, pač pa poizkuša pridobiti nedavno uporabljena gesla iz okuženega sistema prek orodja Mimikatz. Sočasno pa uporablja nabor vnaprej določenih najpogosteje uporabljenih kombinacij uporabniških imen in gesel. V primeru uspešne prijave se okužba razširi na kompromitiran sistem.
Šifriranje podatkov
Za šifriranje je uporabljen odprtokodna programska oprema DiskCryptor, ki omogoča šifriranje celotnega diska. Pri tem so tvorjeni ključi z uporabo CryptGenRandom, ter naknadno zaščiteni prek vdelanega 2048 bitnega RSA ključa.
V primeru, če ima uporabnik administratorske pravice, okužba prepiše tudi MBR z namenom prikaza izsiljevalskega sporočila.
Postopek v primeru okužbe
Če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostne kopije. V primeru, da varnostne kopije nimate, nas kontaktirajte po elektronski pošti na cert@cert.si. Ker obstaja verjetnost obstoja modula za krajo gesel in drugih avtentikacijskih podatkov žrtvam svetujemo preventivno menjavo vseh gesel, ki bi lahko bila odtujena.
Zaščita
Uporabnikom svetujemo
- sprotno izdelavo varnostnih kopij
- redno posodabljanje celotnih sistemov
- uporaba uporabniških računov z omejenimi pravicami
- vpeljava principov minimalnih privilegijev
- uporaba različnih administratorjih gesel v omrežju
- omejitev dostopov do omrežnih sistemskih virov zgolj na nujno potrebne dostope
- blokada SMB prometa na mejah omrežja (vrata TCP/445)
Povezave
- https://isc.sans.edu/diary/BadRabbit%3A+New+ransomware+wave+hitting+RU+%26+UA/22964
- https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/
- https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb
Prva objava: 24. oktober 2017 21:56
Zadnja sprememba: 25. oktober 10:27