Menu
CHIP Speedtest

Petya hrozby jsou tu. Ochrana ale také.

10.07.2017 09:40 | Milan Loucký
Petya hrozby jsou tu. Ochrana ale také.

Počítačových hrozeb neustále přibývá a laická veřejnost může snadno propadnout dojmu, že kybernetický svět opravdu není příznivým místem pro život.

Sotva jsme se vzpamatovali z rozsáhle medializovaného útoku v podobě ransomware WannaCry, máme tu další široce diskutovanou hrozbu Petya. Tedy škodlivý software, který má právě s WannaCry mnoho společného.

Zajímavostí je, že na rozdíl od většiny „konkurenčního“ škodlivého software se Petya nezaměřuje primárně na šifrování souborů, ale v prvních krocích přepíše záznam MBR (Master Boot Record), který zjednodušeně řečeno umožňuje spuštění systému, a zašifruje tzv. hlavní tabulku souborů MFT (Master File Tree).

Výsledkem nákazy je, že místo očekávaného startu operačního systému se uživatelé dočkají „pouze“ zobrazení vyděračských pokynů a Petya získá dostatečný prostor pro své další aktivity. A proč takto? Důvod je prostý – poškození MBT a MFT je nesrovnatelně rychlejší, než šifrování souborů a nemusí tak vyvolat pozornost spojenou například s nárůstem diskových operací.

Ve své podstatě není Petya žádnou žhavou novinkou, s první variantou jsme se setkali již v roce 2016. Aktuální verze známá především pod názvem PetyaWrap nebo PetrWrap je výsledkem evolučního úsilí ze strany kybernetických zločinců a využívá rizika spojená s exploitem EternalBlue, se službou Windows Server Message Block (SMB) a s nástrojem Microsoft PsExec v kombinaci s administrátorskými oprávněními napadeného počítače. Vysoká nebezpečnost nové varianty tedy souvisí i se snadným šířením v rámci podnikové informační architektury, kdy mnohdy stačí, aby Petya napadl jeden jediný počítač v síti.

Podobnost s ransomware WannaCry dokládají i zjištění globální sítě pro zkoumání hrozeb SophosLabs, která zneužití EternalBlue (CC-1353) potvrzují. Nicméně v současné chvíli neexistují přesvědčivé důkazy o tom, že by Petya aktivně využíval techniky spojené s SMB i pro šíření mezi organizacemi, jak tomu bylo v případě WannaCry. Jinými slovy se zaměřuje primárně na šíření v lokálních sítích a přechod do jiných sítí prostřednictvím internetu je pro něj jakousi třešinkou na dortu.

Dobrou zprávou je, že existuje odpovídající ochrana. Například bezpečnostní řešení Sophos Intercept X, se kterým jsou uživatelé před ransomware Petya proaktivně chráněni již od prvních okamžiků existence jeho nejnovější varianty, avšak i nadále platí, že by uživatelé měli zajistit aktualizaci svých operačních systémů v souladu s doporučením MS17-010 a zvážit, zda nezablokovat spouštění nástroje Microsoft PsExec.

Nadmíru důležitým bezpečnostním prvkem je i pravidelné zálohování včetně ukládání kopií dat mimo primární lokalitu. Zálohy jsou účinným prostředkem ochrany nejen před ransomware, ale i před širokou škálou dalších incidentů včetně požáru budovy, krádeže počítače nebo třeba jen nechtěného smazání souboru. Měli bychom ale pamatovat také na to, že chránit je nutné i zálohy, a to například šifrováním, díky kterému nebude vadit, pokud se zálohy dostanou do nepovolaných rukou.

Podrobnosti o ochraně před jednotlivými variantami Petya jsou k dispozici v tomto průběžně aktualizovaném dokumentu. Užitečné informace pro boj s ransomware najdete i v článku How to stay protected against ransomware a na ochranu svých přátel a rodiny před ransomware můžete vyzkoušet řešení Sophos Home, které je zdarma dostupné pro operační systémy Windows i Mac.

-

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání