Groźny atak ransomware GoldenEye / Petya na skalę światową

28 czerwca 2017
Klienci korzystający z oprogramowania marki Bitdefender są chronieni.
>Pobierz darmowe narzędzie do rozpoznawania zagrożenia ransomware<
Tło historii:
Bitdefender zidentyfikował groźny atak ransomware, który osiąga obecnie zasięg ogólnoświatowy. Wstępne informacje pokazują, że próbka złośliwego oprogramowania odpowiedzialna za zakażenie jest prawie identycznym klonem rodziny ransomware GoldenEye. W chwili pisania tej wiadomości, nie ma informacji na temat sposobu rozmnażania się tego zagrożenia, ale zakładamy, że jest on przenoszony przez zainfekowany komponent.
W przeciwieństwie do większości ramsonware, nowy wariant GoldenEye ma dwie warstwy szyfrowania: szyfrowanie plików docelowych na komputerze oraz szyfrowanie struktur NTFS. To podejście uniemożliwia ofiarom uruchamianie komputerów w środowisku systemu operacyjnego i odzyskanie zapisanych informacji lub próbek.
Podobnie jak Petya, GoldenEye szyfruje cały dysk twardy i odmawia użytkownikowi dostępu do komputera. Jednak w przeciwieństwie do Petyi, nie ma obejścia, aby pomóc ofiarom w odzyskaniu kluczy deszyfrowania z komputera.
Co więcej, po zakończeniu procesu szyfrowania, ransomware ma specjalistyczną komendę, która powoduje awarię komputera prowadzącą do ponownego uruchomienia, co czyni komputer bezużytecznym do momentu zapłaty okupu w wysokości 300 USD.
Bitdefender®
Lider w walce z ransomware
Chroń swoją organizację przed ransomware z rozwiązaniami, które najlepiej zapobiegają i blokują zagrożenia.
Na bieżąco aktualizujemy nowe informacje:
Aktualizacja 28.06 (godz. 15.30)
Nasza wewnętrzne badania wskazują, że niektóre infekcje #GoldenEye zostały wywołane przez zhakowaną aktualizację oprogramowania do obsługi księgowości MeDOC. Wielu naszych klientów na Ukrainie, gdzie nasze rozwiązania przechwyciły atak, wyraźnie pokazuje, że explorer.exe uruchamia ezvit.exe, które z kolei wykonują rundll32.exe z ransomware DLL.
Możemy więc potwierdzić, że wektorem infekcji jest aktualizacja MeDOC. Ukraina stała się pierwszą ofiarą ataku, i to właśnie stamtąd infekcja rozprzestrzeniła się przez sieci VPN do centrali firm i ich biur przedstawicielskich.

Zalecamy wszystkim firmom, które mają biura na Ukrainie, aby na bieżąco monitorowały połączenia VPN z innymi oddziałami.
Oprócz aktualizacji MeDOC, istnieją inne wektory infekcji, które sprawdzamy na bieżąco.
Aktualizacja 28.06 (godz. 07:00)
Coraz więcej dowodów wskazuje na to, że kampania #GoldenEye / #Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych
- Wybór zwykłego, zawodnego dostawcy poczty elektronicznej, która miała pełnić rolę kanału do komunikacji, jest pod względem prowadzenia działalności gospodarczej chybioną decyzją.
- Brak automatyzacji procesu płatności i odzyskiwania klucza sprawia, że atakujący nie są w stanie dotrzymać obietnicy.
- Potwierdzenie płatności jest kompletnie niefunkcjonalne: użytkownik musi ręcznie wpisać bardzo długi, złożony z małych i wielkich liter ‘’personalny klucz instalacyjny’’ + „portfel” , który jak łatwo się domyśleć – jest on bardzo podatny na literówki
Aktualizacja 28.06 (godz. 05:00)
Adres poczty elektronicznej wykorzystywanej przez podmioty zagrażające do otrzymywania potwierdzeń płatności został zawieszony przez Posteo. Oznacza to, że wszystkie płatności dokonywane nocą nie będą mogły zostać zweryfikowane, a zatem na pewno nie otrzymasz klucza odszyfrowywania. Nie, że kiedykolwiek doradziliśmy inaczej, ale jeśli planujesz zapłacić okup – natychmiast o tym zapomnij. I tak stracisz dane, a dodatkowo przyczynisz się jeszcze do finansowania nowego złośliwego oprogramowania. Po zawieszeniu adresu email dokonano jeszcze 15 płatności. Zawartość portfela wynosi obecnie 3.64053686 BTC z 40 płatności, a ich wartość netto to 9000 USD.
Aktualizacja 27.06 (godz. 20:30)
Kilka głosów w branży spekulowało, że pierwotny wektor ataku stanowiła kompromisowa aktualizacja narzędzia do zarządzania rachunkowością M.E. Doc, wykorzystywanego przez wszystkie dotknięte zagrożeniem firmy. Potwierdziliśmy też naruszenia w firmach, które nie korzystały ze wspomnianego oprogramowania. Ponadto w artykule na profilu Fabebook firmy sprzedawca zaprzecza zarzutom [ukraiński].
Aktualizacja 27.06 (godz. 19:18)
Jak dotąd, kilka firm potwierdziło, że padły ofiarą GoldenEye / Petya ransomware. Są wśród nich system monitorowania promieniowania elektrowni w Czarnobylu, kancelaria DLA Piper, firma farmaceutyczna Merck, banki, lotnisko, metro w Kijowie, duńska firma zajmująca się żeglugą i energią Maersk, brytyjski reklamodawca WPP i rosyjska firma przemysłu naftowego Rosnoft. Ataki rozprzestrzeniły się na Ukrainie, dotykając Ukrenergo – państwowego dystrybutora energii, i kilka krajowych banków.
Aktualizacja 27.06 (godz. 17:45)
Operatorzy GoldenEye / Petya otrzymali już 13 płatności w ciągu niespełna dwóch godzin. Wynoszą one 3500 USD w cyfrowej walucie.
Aktualizacja 27.06 (godz. 17:30)
Bitdefender Labs potwierdza, że ransomware GoldenEye / Petya wykorzystuje exploity EternalBlue do rozprzestrzeniania się z jednego komputera na inny. Inne exploity są również wykorzystywane do rozprzestrzeniania. Szczegóły wkrótce.
https://www.youtube.com/embed/g35O5hU2Mps
https://www.youtube.com/embed/kAgUFQexOQg
Bitdefender blokuje aktualnie znane próbki nowego wariantu GoldenEye. Jeśli korzystasz z rozwiązania antywirusowego Bitdefender dla klientów indywidualnych lub biznesowych, Twoje komputery nie są zagrożone.
Co to jest ransomware i jak chroni przed nim Bitdefender?
Bitdefender GravityZone posiada wielowarstwową zaawansowaną architekturę do wykrywania, zwalczania i eliminowania zagrożeń, która jest dostępna z poziomu jednej wygodnej platformy.
Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.
Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.
Źródło: Bitdefender Labs