Márciusban fedezte fel a Trend Micro, aztán az ESET kutatóinak sikerült visszafejtő eszközt készíteni hozzá. A Petya ennek ellenére igencsak jól tarolt, különösen az után, amikor a nyáron elkezdett a Mischa nevű károkozóval karöltve dolgozni.
Az eredeti zsaroló valójában nem titkosított, csak egy kikényszerített kékhalál után meggátolta a Windows indítását. A Mischa azonban már a titkosítást is megcsinálta, és így párban már tényleg nagyon veszélyesek voltak. Aztán mintha eltűntek volna a színről. Eddig.
Új név, új tudás
A közelmúltban ugyanis új néven ismét felbukkant. Immár Goldeneye néven veszélyezteti a gépeket. Elsősorban német nyelvű e-mailekben terjed, ennek megfelelően főleg Németországban. De mint a Biztonságportál írja, ez bármikor megváltozhat, tekintve, hogy a levél szövegét bármikor ki lehet cserélni.
Az e-mailban van két csatolmány: egy PDF formátumú dokumentum és egy makrókat tartalmazó Excel fájl. Itt most ez utóbbi érdekes, ugyanis azon keresztül támad a vírus. Amikor a felhasználó meg akarja nyitni a Excel fájlt, az kéri a makrók engedélyezését. Ilyenkor indul a Petya, illetve most már Goldeneye támadása: dekódolja a fájlban található base64 kódolású karaktersorozatokat, és létrehoz egy végrehajtható (.exe) fájlt a Temp mappában. Azt a -exe-t indítja el aztán a tényleges károkozáshoz.
Először úgy módosítja az MBR-t (Master Boot Record), hogy az megakadályozza a Windows újbóli elindulását. A következő lépésben pedig titkosítja az állományokat. Ha a titkosítás lefutott, újraindítja a számítógépet, és megjeleníti az üzenetét egy szöveges képernyőn: a Tor böngésző segítségével fel kell keresni egy weboldalt, és azon keresztül ki kell csengetni ezer dollárnyi bitcoint.
Nem fog örülni, ha a Windows újraindulása után ez a képernyő fogadja
És hogyan lehet védekezni? Természetesen leginkább megelőzéssel. És ha már megtörtént a baj? A biztonsági szakemberek szerint eszünkbe ne jusson fizeti, még akkor sem, ha úgy látjuk, az az utolsó mentsvárunk. A legfontosabb okokat sokszor leírtuk: nincs garancia, hogy fizetés után megkapjuk a titkosítást feloldó kulcsot, ráadásul még szponzoráljuk is a kiberbűnözőket.
A körültekintő és megfontolt géphasználattal, valamint a rendszeresen elkészített/frissített biztonsági mentésekkel sok kellemetlenségtől menekülünk meg.
a melléklet támogatója a Clico
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?