Petya vagy nem Petya, az új zsarolóvírus ellen is van ékegyszerűségű védekezés

TECH
2017 június 28., 11:39
Egy laptop, amit túszul ejtett a NotPetya. A zsarolószoftver a Windows rendszerfájlait titkosítva akadályozza a gép rendes elindulását. Magát a rendszerfájlok titkosítását viszonylag könnyű kivédeni, és a fertőzést is, ha rendszeresen frissítik a szoftvereiket.
photo_camera Egy laptop, amit túszul ejtett a NotPetya. A zsarolószoftver a Windows rendszerfájlait titkosítva akadályozza a gép rendes elindulását. Magát a rendszerfájlok titkosítását viszonylag könnyű kivédeni, és a fertőzést is, ha rendszeresen frissítik a szoftvereiket. Fotó: ROB ENGELAAR/AFP

FONTOS UPDATE: A cikk végén részleteztem egy ékegyszerűségű megoldást, amivel megakadályozhatja, hogy a NotPetya zsarolóvírus titkosítsa a rendszerfájlokat. Bár már az se volt túl bonyolult, de most még egyszerűbb lett. Töltse le ezt a kis programot, majd egyszerűen futtassa le, és elvégzi maga helyett a munkát. Egészségükre. (Via Bleeping Computer)

Kedd óta pusztít a számítógépes hálózatokon a legújabb zsarolóvírus. Hogy ez pontosan mi, arról még folynak a viták a szakmai körökben. A vírust eredetileg a már 2016-ban felfedezett Petyaként azonosították, és bár a kiberbiztonsági szakik egy része még ezekben a percekben is Petyaként hivatkozik rá, többen közülük már inkább NotPetyának, vagy GoldenEye-nak hívják, mert véleményük szerint ez nem a 2016-ban azonosított vírus, hanem annak legfeljebb egy új variánsa, ha nem egyenesen egy teljesen új vírus.

Nem Petya

A lényegen ez keveset változtat. Akármi is ez, kedd óta rohamtempóban terjed a világ számítógépes hálózatain, elsősorban nagyvállalatok és állami szervek számítógépeit fertőzve.

Sikerének titka, hogy a májusban pusztító WannaCryhoz hasonlóan ez is az NSA-ből kilopott eszközökre, azok közül is az EternalBlue nevű, a Windows operációs rendszer sebezhetőségeit kihasználó exploitra épít. A rossz hír, hogy az új vírus, nevezzük NotPetyának, készítői nem követték el ugyanazokat az amatőr hibákat, mint a WannaCry írói. A WannaCryban, mint arról a témát felületesen követők is értesülhettek, volt egy lekapcsológomb. A vírus időről időre lekérdezést küldött egy bonyolult című weboldalnak, és ha pozitív választ kapott, leállította magát. Ezt egy fiatal kiberbiztonsági szakember kiszúrta, és mivel a webcím nem volt bejegyezve, gyorsan regisztrálta. Ezzel gyakorlatilag egymaga megfékezte a vírus terjedését.

A Bitdefender biztonsági cég kutatója, Bogdan Botezatu szerint az ilyen vírusok kódja változatról változatra javul. "Ez a GoldenEye [ő pont így hívja] egész jól összerakott" - mondta a Wirednek. Például nincs benne az a lekapcsoló, amit a WannaCryba amúgy a detektálást megnehezítendő építhettek bele az alkotói, feltehetően észak-koreai kormányzati hackerek. A lekapcsológombbal szabályozhatták volna a vírus terjedését, hogy elkerüljék a feltűnést, de a biztonsági szakértők szerint az ötletet nem dolgozták ki teljesen, ezért teremtett lehetőséget a vírus gyors kinyírására.

A NotPetya annyiban is fejlettebb elődjénél, hogy nem kizárólag az EternalBlue exploitot használja. Itt kell tegyünk egy kitérőt a felhasználók felelőssége felé is. A WannaCry pusztítása után a Microsoft még azokhoz az operációs rendszereihez is kiadott az exploitot kijavító patcheket, amelyeket hivatalosan már nem is támogat. A jelek szerint mégis ezrével akadnak még számítógépek, amelyekre nem telepítették ezeket. Az, hogy az új vírus elsősorban nagyvállalati és állami hálózatokon terjed, részben emiatt is lehet. Ezeknél nem váltanak azonnal a legújabb operációs rendszerekre, illetve ezeknél központosítottan, és a jelek szerint meglehetősen lassan végzik a szoftverfrissítéseket, lehetőséget adva egy már ismert, javítható hiba kihasználására.

A NotPetya veszélyességét fokozza, hogy a már a WannaCry által is használt rés mellett valószínűleg a Microsoft Word dokumentumok rosszindulatú makróin keresztül is fertőzhet, illetve egy ukrán könyvelőprogram, a MeDoc szoftverfrissítő alkalmazásán át is. Ez magyarázhatja, hogy a fertőzés miért Ukrajnából és Oroszországból, és miért a nagyvállalati, illetve a bankszektorból indult.

A NotPetya használ még egy eszközt, amit az EternalBluehoz hasonlóan szintén az NSA-től zsákmányoltak a hackerek. Ezt az EternalRomance névre keresztelt exploitot a Microsoft amúgy már márciusban patchelte. Az NSA-től kilopott exploitokról általában is elmondható, hogy azok viszonylag régi, 2012 előtt készült eszközök, így már el is jutottunk a legújabb zsarolóvírus elleni védekezés kulcseleméhez: legyenek szívesek frissen tartani szoftvereiket. Ezek a fegyverszintű kódok ugyanis régi, jellemzően már nem is támogatott operációs rendszerek, a Windows XP, vagy például az EsteemAudit nevű exploit esetén, amelyet egyes szakértők szerint szintén használ a NotPetya, Windows Server 2003-as oprendszerek hibáit használják ki.

A legegyszerűbb fapados védekezési ötletet a Register hozta nyilvánosságra. Ez tényleg ékegyszerűségű. Nyissanak egy Notepadet, mentsék el perfc.dat néven a Windows gyökérkönyvtárában, majd állítsák át csak olvashatóra. A NotPetya vírus rákeres erre a fájlra, és ha megtalálja, akkor nem végzi el a rendszerfájlok titkosítását. Ezzel legalább a számítógép túszul ejtése megakadályozható, bár a vírus terjedését ez nem fékezi meg. (Via Wired, The Register, The Guardian)

Kommentek

Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.