Sådan er NotPetya-malwaren skruet sammen

Illustration: Pang-rum/Bigstock
NotPetya-malwaren krypterer ved overskrive master boot record og spreder sig ved at stjæle login-oplysninger.

Opdateret klokken 12:58 Der kommer løbende nye informationer om det seneste cyberangreb, som nogen kalder NotPetya. Her er et foreløbigt indblik, som vi forventer at opdatere.

Malwaren ser ud til at være i familie med en i forvejen kendt ransomware-variant, kaldet Petya, men har en række markante forskelle, især fordi den er i stand til at sprede sig automatisk på flere måder og dermed inficere andre Windows-maskiner på samme netværk.

Ifølge Microsoft tyder de foreløbige analyser på, at opdateringsfunktionen til et stykke ukrainsk software til skatteindrapportering er blevet misbrugt til de første infektioner, men den har også brugt samme sikkerhedshul i Windows, som Wannacry-ormen i maj. Microsoft udsendte en sikkerhedsopdatering, som lukkede sikkerhedshullet i marts.

Derudover forsøger malwaren at stjæle loginoplysninger fra den inficerede pc og bruge dem til at få adgang til andre maskiner på samme netværk ved hjælp af to Windows-værktøjer.

Ifølge et indlæg hos MalwareTech bruger malwaren login-oplysningerne til at sprede sig på netværket via WMIC (Windows Management Instrumentation Commandline). McAfee Enterprise oplyser i et blogindlæg, at loginoplysninger bliver indsamlet fra klienten via et værktøj, der minder om open source-programmet Mimikatz.

Ransomware-delen krypterer den inficerede pc ved først at skrive til master boot record (MBR) og sætter samtidig maskinen til at genstarte automatisk efter 10 minutter plus et tilfældigt antal sekunder. Derefter går programmet i gang med at kryptere udvalgte filer. Mens den gør det, viser den et forfalsket skærmbillede, som ligner Microsofts Checkdisk-værktøj til at finde og rette diskfejl.

Når maskinen genstarter, vises et krav om betaling af en løsesum på 300 dollars i bitcoins. For at få udleveret sin krypteringsnøgle, skal man sende en e-mail, og det kan vise sig at være problematisk, fordi den pågældende mailadresse blev lukket ned, skriver Bleeping Computer.

Ifølge sikkerhedsekspert Nicholas Weaver er det også en usædvanlig fremgangsmåde at benytte én mailadresse og én bitcoin-adresse til alle ofre, skriver sikkerhedsblogger Brian Krebs.

Vaccinér din pc

Ved Wannacry-angrebet blev en del af skaden begrænset ved, at en sikkerhedsekspert registrerede et domæne, som malwaren forsøgte at kontakte. Det stoppede ormens spredning.

Den nye NotPetya indeholder ikke en lignende 'killswitch' eller nødstop, men der er dog en mulighed for at forhindre selve krypteringen i at blive afviklet, hvis ormen inficerer en pc. Malwaren tjekker nemlig for, om pc'en allerede er inficeret ved at se, om der findes en bestemt fil. Hvis filen eksisterer, lukker programmet.

Pc'en er dermed stadig inficeret og kan potentielt inficere andre på netværket, men filerne bliver ikke krypteret. Derfor kan man så at sige vaccinere en pc ved at oprette en fil med det pågældende navn, foreslår blandt andet sikkerhedsfirmaet Symantec:

For at beskytte sig mod NotPetya gælder der de samme anbefalinger som med Wannacry. Først og fremmest bør man installere den tilgængelige Windows-sikkerhedsopdatering. Dernæst kan man opdatere sine netværkspolitikker og eksempelvis slå brugen af SMBv1 fra, foreslår Microsoft.

Derudover kan Snort og andre værktøjer til netværksovervågning benyttes til at opdage, at malwaren forsøger at sprede sig i organisationen. Endelig bør man sikre sig mod ransomware ved at sørge for en backupstrategi, som gør det muligt at gendanne vigtige data, selvom systemerne skulle blive kompromitteret og krypteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Stein Sandal

Det stod der ikke da jeg skrev kommentaren, fordi der tjekkede jeg om de havde opdateret den. Så det har de efterfølgende skrevet til.

Bare for en god ordens skyld: Nej, det har hele tiden stået i artiklen med linket til Bleeping Computer (jeg tjekkede endda med min egen originaltekst).

Til gengæld har det ikke gjort nogen forskel, fordi det ID, man skulle sende, ikke indeholdt nogen information om den nøgle, der var brugt, så du kunne ikke få tilsendt den dekrypterede nøgle:

https://www.version2.dk/artikel/notpetya-bagmaend-havde-aldrig-chance-at...

(Og din MBR var i øvrigt overskrevet)

-Jesper

  • 5
  • 0
Michael Cederberg

... som jeg forstår det så er Mimikatz i stand til at grave brugerens login password frem. Hvis brugeren var admin så fik de fat i admin password og kunne på den måde overskrive MBR. Andre bud?

Mere interessant synes jeg valget af det Ukrainske skatteprogram er. For såfremt skatteprogrammet er virussens eneste måde at sprede sig over internettet, men i øvrigt bruger diverse NSA hacks til at sprede sig på intranettet, så er det en strålende måde begrænse angrebet til Ukraine og virksomheder er opererer i Ukraine.

Hvis det var Putin der gjorde det, så må man sige det er ganske smart gjort. For chancen for at andre virksomheder end dem der opererer i Ukraine har skatte programmet installeret er tæt ved nul. Maksimal skade på modstanderen og meget lille risiko for selv at blive ramt seriøst. Smukt!

  • 0
  • 0
Log ind eller Opret konto for at kommentere