Selskaper som har blitt ødelagt av et angrep kalt “Petya’, den andre store ransomware kriminalitet i to måneder. Olivia Solon svar på sentrale spørsmål
@oliviasolon
e-post
Onsdag 28. juni 2017 01.24 BST
Mange organisasjoner i Europa og USA har blitt ødelagt av en ransomware angrep kalt “Petya”. Den skadelige programvaren har spredt seg gjennom store bedrifter, inkludert annonsøren WPP, mat selskapet Mondelez, advokatfirmaet DLA Piper og dansk frakt og transport firma som Maersk, som fører til Pc-er og data blir låst opp og holdt for løsepenger.
Det er den andre store globale ransomware angrep i de siste to månedene. I begynnelsen av Mai, Storbritannias National Health Service (NHS) var blant organisasjonene som er infisert av WannaCry, som brukte et sikkerhetsproblem første avslørt som en del av en lekket stash av NSA-relaterte dokumenter utgitt på nettet i April med et hacker-gruppen kaller seg selv Skyggen Meglere.
‘Petya’ ransomware angrep slår selskaper over hele Europa og USA
Les mer
Den WannaCry eller WannaCrypt ransomware angrep påvirket mer enn 230,000 datamaskiner i over 150 land, med STORBRITANNIA national health service, spansk telefonen selskapet Telefónica og tysk state railways blant de som er hardest rammet.
Som WannaCry, Petya sprer seg raskt gjennom nettverk som bruker Microsoft Windows, men hva er det, hvorfor det skjer og hvordan kan den bli stoppet?
Hva er ransomware?
Ransomware er en type malware som blokkerer tilgang til en datamaskin eller av data og krever penger for å slippe den.
Hvordan fungerer det?
Når en datamaskin er infisert, ransomware krypterer viktige dokumenter og filer og deretter krever løsepenger, vanligvis i Bitcoin, for en digital nøkkel for å låse opp filene. Hvis ofrene ikke har en fersk sikkerhetskopi av filene må de enten betale løsepenger eller ansikt å miste alle sine filer.
Hvordan fungerer Petya ransomware arbeid?
Den Petya ransomware tar over datamaskiner og krever $300, betalt i Bitcoin. Skadelig programvare som sprer seg raskt på tvers av en organisasjon når en datamaskin er infisert med EternalBlue sikkerhetsproblem i Microsoft Windows (Microsoft har utgitt en oppdatering, men ikke alle vil ha installert) eller gjennom to Vinduer administrative verktøy. Den malware prøver ett alternativ, og hvis det ikke fungerer, prøver du den neste. “Det har en bedre mekanisme for å spre seg selv enn WannaCry”, sa Ryan Kalember fra cybersecurity firmaet Proofpoint.
Hackere publisere private bilder fra kosmetisk kirurgi klinikk
Les mer
Hvor ble det av start?
Angrepet ser ut til å ha blitt seeded gjennom en programvareoppdatering mekanismen er bygget inn i en regnskapsmessig program som selskaper arbeider med den ukrainske regjeringen trenger å bruke, i henhold til den ukrainske Cyber-Politiet. Dette forklarer hvorfor så mange ukrainske organisasjoner ble berørt, inkludert myndigheter, banker, statlige kraftverk og Kiev lufthavn og metro-systemet. Stråling system for overvåking i Tsjernobyl ble også tatt i frakoblet modus, og tvinger de ansatte til å bruke hånd-holdt tellere for å måle nivåene i det tidligere atomkraftverket er eksklusjon sonen.
Hvor langt har den spredt seg?
“Petya” ransomware har forårsaket alvorlige forstyrrelser i store bedrifter i Europa og USA, inkludert reklame fast WPP, fransk byggevarer selskapet Saint-Gobain og russiske stål og olje bedrifter Evraz og Rosneft. Maten selskapet Mondelez, advokatfirmaet DLA Piper, dansk frakt og transport firma AP Moller-Maersk og Heritage Valley Health System, som driver sykehus og omsorg fasiliteter i Pittsburgh, også sier sine systemer ikke hadde vært rammet av malware.
Rederiet Maersk er DET systemet som ble påvirket av cyber-angrep. Foto: Mauritz Antin/EPA
Så er dette bare en annen opportunistiske cybercrimnal?
Det i utgangspunktet så ut som Petya var bare en annen nettkriminelle tar nytte av cyberweapons lekket på nettet. Men sikkerhetseksperter sier at mekanisme for betaling av angrepet virker for amatørmessig å ha blitt utført av alvorlig kriminelle. For det første, løsepenger merk inneholder det samme Bitcoin betaling adresse, for alle offer de fleste ransomware oppretter en egendefinert adresse for ethvert offer. For det andre, Petya ber ofrene til å kommunisere med angriperne via en enkelt e-postadressen som har blitt suspendert av e-post-leverandør etter at de oppdaget hva det ble brukt til. Dette betyr at selv om noen betaler løsepenger, de har ingen måte å kommunisere med angriperen til å be om dekryptering nøkkelen til å låse opp filene sine.
SKIPSFART energi industri cyber-angrep frykt er ‘off the scale’
Les mer
OK, så da hvem som står bak angrepet?
Det er ikke klart, men det virker sannsynlig at det er noen som ønsker malware å utgi seg som ransomware, mens faktisk bare å være ødeleggende, spesielt til den ukrainske regjeringen. Sikkerhet forsker Nicholas Weaver fortalte cybersecurity blogg Krebs på Sikkerhet som Petya var en “bevisst, skadelig, ødeleggende angrep eller kanskje en test forkledd som ransomware”.
Ukraina har anklaget Russland for tidligere cyber-angrep, blant annet om sitt strømnett på slutten av 2015 som i venstre del av vest-Ukraina midlertidig uten elektrisitet. Russland har nektet å utføre cyber-angrep på Ukraina.
Hva bør du gjøre hvis du er påvirket av ransomware?
Ransomware infiserer datamaskiner og venter i omtrent en time før du starter maskinen. Mens maskinen starter opp, kan du slå av maskinen for å hindre filene blir kryptert og prøve og redde filer fra maskinen, som rapportert av @HackerFantastic på Twitter.
Hacker Fantastisk
(@hackerfantastic)Hvis maskinen starter på nytt og du ser denne meldingen, kan du slå av strømmen umiddelbart! Dette er krypteringsprosessen. Hvis du ikke slå på, filer er fine. pic.twitter.com/IqwzWdlrX6
27. juni 2017
Hvis systemet startes på nytt med løsepenger merk, ikke betale løsepenger – “kundeservice” e-postadresse har blitt stengt ned, så det er ingen måte å få dekryptering nøkkelen til å låse opp filene dine uansett. Koble PC-en din fra internett, formatere harddisken og installere filer fra en sikkerhetskopi. Sikkerhetskopiere filene dine regelmessig, og hold anti-virus programvare oppdatert.