Groźny atak ransomware GoldenEye / Petya na skalę światową

Klienci korzystający z oprogramowania marki Bitdefender są chronieni.

>Pobierz darmowe narzędzie do rozpoznawania zagrożenia ransomware<  

Tło historii:

Bitdefender zidentyfikował groźny atak ransomware, który osiąga obecnie zasięg ogólnoświatowy. Wstępne informacje pokazują, że próbka złośliwego oprogramowania odpowiedzialna za zakażenie jest prawie identycznym klonem rodziny ransomware GoldenEye. W chwili pisania tej wiadomości,  nie ma informacji na temat sposobu rozmnażania się tego zagrożenia, ale zakładamy, że jest on przenoszony przez zainfekowany komponent.

W przeciwieństwie do większości ramsonware, nowy wariant GoldenEye ma dwie warstwy szyfrowania: szyfrowanie plików docelowych na komputerze oraz szyfrowanie struktur NTFS. To podejście uniemożliwia ofiarom uruchamianie komputerów w środowisku systemu operacyjnego i odzyskanie zapisanych informacji lub próbek.

Podobnie jak Petya, GoldenEye szyfruje cały dysk twardy i odmawia użytkownikowi dostępu do komputera. Jednak w przeciwieństwie do Petyi, nie ma obejścia, aby pomóc ofiarom w odzyskaniu kluczy deszyfrowania z komputera.

Co więcej, po zakończeniu procesu szyfrowania, ransomware ma specjalistyczną komendę, która powoduje awarię komputera prowadzącą do ponownego uruchomienia, co czyni komputer bezużytecznym do momentu zapłaty okupu w wysokości 300 USD.

Na bieżąco aktualizujemy nowe informacje:

Aktualizacja 28.06 (godz. 15.30)

Nasza wewnętrzne badania wskazują, że niektóre infekcje #GoldenEye zostały wywołane przez zhakowaną aktualizację oprogramowania do obsługi księgowości MeDOC. Wielu naszych klientów na Ukrainie, gdzie nasze rozwiązania przechwyciły atak, wyraźnie pokazuje, że explorer.exe uruchamia ezvit.exe, które z kolei wykonują rundll32.exe z ransomware DLL.

Możemy więc potwierdzić, że wektorem infekcji jest aktualizacja MeDOC. Ukraina stała się pierwszą ofiarą ataku, i to właśnie stamtąd infekcja rozprzestrzeniła się przez sieci VPN do centrali firm i ich biur przedstawicielskich.

Nagradzany antywirus Bitdefender

Bitdefender Internet Security zapewnia najlepszą ochronę przed zagrożeniami internetowymi, bez spowolniania zasobów systemu. Został okrzyknięty Produktem Roku przez AV-Comparatives i nagrodzony przez AV-TEST za Najlepszą Ochronę i Najlepszą Wydajność.

Bitdefender Internet Security:zobacz więcej

Zalecamy wszystkim firmom, które mają biura na Ukrainie, aby na bieżąco monitorowały połączenia VPN z innymi oddziałami.

Oprócz aktualizacji MeDOC, istnieją inne wektory infekcji, które sprawdzamy na bieżąco.

Aktualizacja 28.06 (godz. 07:00)

Coraz więcej dowodów wskazuje na to, że kampania #GoldenEye / #Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych

• Wybór zwykłego, zawodnego dostawcy poczty elektronicznej, która miała pełnić rolę kanału do komunikacji, jest pod względem prowadzenia działalności gospodarczej chybioną decyzją.
• Brak automatyzacji procesu płatności i odzyskiwania klucza sprawia, że atakujący nie są w stanie dotrzymać obietnicy.
• Potwierdzenie płatności jest kompletnie niefunkcjonalne: użytkownik musi ręcznie wpisać bardzo długi, złożony z małych i wielkich liter ‘’personalny klucz instalacyjny’’ + „portfel” , który jak łatwo się domyśleć – jest on bardzo podatny na literówki

Aktualizacja 28.06 (godz. 05:00)

Adres poczty elektronicznej wykorzystywanej przez podmioty zagrażające do otrzymywania potwierdzeń płatności został zawieszony przez Posteo. Oznacza to, że wszystkie płatności dokonywane nocą nie będą mogły zostać zweryfikowane, a zatem na pewno nie otrzymasz klucza odszyfrowywania. Nie, że kiedykolwiek doradziliśmy inaczej, ale jeśli planujesz zapłacić okup – natychmiast o tym zapomnij. I tak stracisz dane, a dodatkowo przyczynisz się jeszcze do finansowania nowego złośliwego oprogramowania. Po zawieszeniu adresu email dokonano jeszcze 15 płatności. Zawartość portfela wynosi obecnie 3.64053686 BTC z 40 płatności, a ich wartość netto to 9000 USD.

Aktualizacja 27.06 (godz. 20:30)

Kilka głosów w branży spekulowało, że pierwotny wektor ataku stanowiła kompromisowa aktualizacja narzędzia do zarządzania rachunkowością M.E. Doc, wykorzystywanego przez wszystkie dotknięte zagrożeniem firmy. Potwierdziliśmy też naruszenia w firmach, które nie korzystały ze wspomnianego oprogramowania. Ponadto w artykule na profilu Fabebook firmy sprzedawca zaprzecza zarzutom [ukraiński].

Aktualizacja 27.06 (godz. 19:18)

Jak dotąd, kilka firm potwierdziło, że padły ofiarą GoldenEye / Petya ransomware. Są wśród nich system monitorowania promieniowania elektrowni w Czarnobylu, kancelaria DLA Piper, firma farmaceutyczna Merck, banki, lotnisko, metro w Kijowie, duńska firma zajmująca się żeglugą i energią Maersk, brytyjski reklamodawca WPP i rosyjska firma przemysłu naftowego Rosnoft. Ataki rozprzestrzeniły się na Ukrainie, dotykając Ukrenergo –  państwowego dystrybutora energii, i kilka krajowych banków.

Aktualizacja 27.06 (godz. 17:45)

Operatorzy GoldenEye / Petya otrzymali już 13 płatności w ciągu niespełna dwóch godzin. Wynoszą one 3500 USD w cyfrowej walucie.

Aktualizacja 27.06 (godz. 17:30)

Bitdefender Labs potwierdza, że ransomware GoldenEye / Petya wykorzystuje exploity EternalBlue do rozprzestrzeniania się z jednego komputera na inny. Inne exploity są również wykorzystywane do rozprzestrzeniania. Szczegóły wkrótce.

https://www.youtube.com/embed/g35O5hU2Mps

https://www.youtube.com/embed/kAgUFQexOQg

Bitdefender blokuje aktualnie znane próbki nowego wariantu GoldenEye. Jeśli korzystasz z rozwiązania antywirusowego Bitdefender dla klientów indywidualnych lub biznesowych, Twoje komputery nie są zagrożone.

Co to jest ransomware i jak chroni przed nim Bitdefender?

Bitdefender GravityZone posiada wielowarstwową zaawansowaną architekturę do wykrywania, zwalczania i eliminowania zagrożeń, która jest dostępna z poziomu jednej wygodnej platformy.

Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.

Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.

Źródło: Bitdefender Labs