Domov Novinky Ako sa chrániť pred ransomvérom Petya?

Ako sa chrániť pred ransomvérom Petya?

Zdielať

Počítačových hrozieb neustále pribúda a laická verejnosť môže ľahko prepadnúť dojmu, že kybernetický svet naozaj nie je priaznivým miestom pre život. Sotva sme sa spamätali z rozsiahlo medializovaného útoku v podobe ransomvéru WannaCry, máme tu ďalší široko diskutovanou hrozbu Petya. Teda škodlivý softvér, ktorý má práve s WannaCry veľa spoločného.

Zaujímavosťou je, že na rozdiel od väčšiny „konkurenčného“ škodlivého softvéru sa Petya nezameriava primárne na šifrovanie súborov, ale v prvých krokoch prepíše záznam MBR (Master Boot Record), ktorý zjednodušene povedané umožňuje spustenie systému a zašifruje tzv. Hlavnú tabuľku súborov MFT ( Master File Tree). Výsledkom nákazy je, že namiesto očakávaného štartu operačného systému sa používatelia dočkajú „len“ zobrazenie vydieračských pokynov a Petya získa dostatočný priestor pre svoje ďalšie aktivity. A prečo takto? Dôvod je prostý – poškodenie MBT a MFT je neporovnateľne rýchlejší, než šifrovanie súborov a nemusí tak vyvolať pozornosť spojenú napríklad s nárastom diskových operácií.

Vo svojej podstate nie je Petya žiadnou horúcou novinkou, s prvou variantom sme sa stretli už v roku 2016. Aktuálna verzia známa predovšetkým pod názvom PetyaWrap alebo PetrWrap je výsledkom evolučného úsilia zo strany kybernetických zločincov a využíva riziká spojené s exploity EternalBlue, so službou Windows Server Message Block (SMB) as nástrojom Microsoft PsExec v kombinácii s administrátorskými oprávneniami napadnutého počítača. Vysoká nebezpečnosť nové varianty teda súvisí aj s ľahkým šírením v rámci podnikovej informačnej architektúry, kedy mnohokrát stačí, aby Petya napadol jeden jediný počítač v sieti.

Podobnosť s ransomvérom WannaCry dokladajú aj zistenie globálnej siete pre skúmanie hrozieb SophosLabs, ktorá zneužitie EternalBlue (CC-1353) potvrdzujú. Avšak v súčasnej chvíli neexistujú presvedčivé dôkazy o tom, že by Petya aktívne využívala techniky spojené s SMB aj pre šírenie medzi organizáciami, ako tomu bolo v prípade WannaCry. Inými slovami sa zameriava primárne na šírenie v lokálnych sieťach a prechod do iných sietí prostredníctvom internetu je pre neho akousi čerešničkou na torte. Dobrou správou je, že existuje primeraná ochrana. Napríklad bezpečnostné riešenie Sophos Intercept X, s ktorým sú používatelia pred ransomware Petya proaktívne chránení už od prvých okamihov existencie jeho najnovšie varianty, avšak aj naďalej platí, že by používatelia mali zabezpečiť aktualizáciu svojich operačných systémov v súlade s odporúčaním MS17-010 a zvážiť, či nezablokovat spúšťanie nástroja Microsoft PsExec.

Nadmieru dôležitým bezpečnostným prvkom je aj pravidelné zálohovanie vrátane ukladania kópií dát mimo primárnej lokalitu. Zálohy sú účinným prostriedkom ochrany nielen pred ransomware, ale aj pred širokou škálou ďalších incidentov vrátane požiaru budovy, krádeže počítača alebo hoci len nechceného zmazanie súboru. Mali by sme ale pamätať aj na to, že chrániť je nutné i zálohy a to napríklad šifrovaním, vďaka ktorému nebude vadiť, ak sa zálohy dostanú do nepovolaných rúk.