Petya ransomware attack: hur och vem är smittad; hur man stoppar det

En ny ransomware-attack som använder en modifierad version av EternalBlue-sårbarheten som utnyttjades i WannaCry-attackerna kom fram på tisdag och har redan träffat mer än 2000 datorer över hela världen i Spanien, Frankrike, Ukraina, Ryssland och andra länder.

Attacken har främst riktat företag i dessa länder medan ett sjukhus i Pittsburg, USA också har drabbats. Offren för attacken inkluderar bland annat Central Bank, Railways, Ukrtelecom (Ukraina), Rosnett (Ryssland), WPP (UK) och DLA Piper (USA).

Medan det högsta antalet infektioner har hittats i Ukraina, den näst högsta i Ryssland, följt av Polen, Italien och Tyskland. Bitcoin-kontot som accepterade betalningar hade genomfört mer än 24 transaktioner innan det stängdes av.

Läs också: Petya Ransomware hackare förlorar tillgång till e-postkonton; Offren vänster strandsatta.

Även om attacken inte är riktad mot företag i Indien riktade den sig till sjöfartsgiganten AP Moller-Maersk och Jawaharlal Nehru hamn är hotad eftersom företaget driver Gateway Terminals i hamnen.

Hur sprids Petya Ransomware?

Ransomware använder ett liknande utnyttjande som användes i storskaliga WannaCry ransomware-attacker tidigare denna månad som riktade maskiner som körs på föråldrade Windows-versioner, med lite modifiering.

Sårbarheten kan utnyttjas via en extern exekvering av kod på datorer som kör Windows XP till Windows 2008-system.

Ransomware infekterar datorn och startar om den med hjälp av systemverktyg. Vid omstart krypterar den MFT-tabellen i NTFS-partitioner och skriver över MBR med en anpassad lastare som visar lösningsmeddelandet.

Enligt Kaspersky Labs, ”För att fånga uppgifter för spridning använder ransomware anpassade verktyg, a la Mimikatz. Dessa extraherar referenser från processen lsass.exe. Efter extraktion skickas referenser till PsExec-verktyg eller WMIC för distribution i ett nätverk. ”

Vad händer efter att en dator har infekterats?

Efter att Petya har infekterat en dator, förlorar användaren åtkomst till maskinen som visar en svart skärm med röd text på den som lyder enligt följande:

”Om du ser den här texten är dina filer inte längre tillgängliga eftersom de har krypterats. Du kanske är upptagen med att leta efter ett sätt att återställa dina filer, men slösa inte vår tid. Ingen kan återställa dina filer utan vår dekrypteringstjänst."

Och det finns instruktioner för betalning av $ 300 i Bitcoins och ett sätt att ange dekrypteringsnyckeln och hämta filerna.

Hur ska man vara säker?

För närvarande finns det inget konkret sätt att dekryptera filerna som hålls som gisslan av Petya ransomware eftersom den använder en solid krypteringsnyckel.

Men säkerhetswebbplatsen Bleeping Computer tror att att skapa en skrivskyddad fil med namnet 'perfc' och att placera den i Windows-mappen i C-enhet kan hjälpa till att stoppa attacken.

Det är också viktigt att människor, som fortfarande inte har det, omedelbart laddar ner och installerar Microsoft-patch för äldre Windows-operativsystem som avslutar sårbarheten som används av EternalBlue. Detta hjälper till att skydda dem mot en attack av en liknande skadlig stam som Petya.

Om maskinen startar om och du ser detta meddelande, stäng det av omedelbart! Det här är krypteringsprocessen. Om du inte slår på är filerna bra. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 juni 2017

Medan antalet och storleken på ransomware-attacker ökar med varje dag som går, antyds det att risken för nya infektioner minskar avsevärt efter de första timmarna av attacken.

Läs också: Ransomware Attacks on the Rise: Here is How to Stay Safe.

Och i fallet med Petya, förutspår analytiker att koden visar att den inte kommer att spridas utanför nätverket. Ingen har kunnat ta reda på vem som är ansvarig för denna attack ännu.

Säkerhetsforskare har fortfarande inte hittat ett sätt att dekryptera system infekterade av Petya ransomware och eftersom till och med hackarna inte kan kontaktas nu, kommer alla berörda att förbli det för tillfället.