Petya-kiristyshaittaohjelma leviämässä nopeasti

Petya-kiristyshaittaohjelman tuoreesta variantista on tullut viimeisen vuorokauden aikana useita tartuntoja yrityksistä, joilla on toimintoja Ukrainassa. Haittaohjelmaa on todennäköisesti levitetty M.E.Doc -kirjanpito-ohjelmiston päivityksen kautta.

Artikkelia päivitetty 28.6. klo 10 alkuperäisen tartuntavektorin osalta.

Kyberturvallisuuskeskus on saanut ilmoituksia myös Suomessa tapahtuneista tartunnoista. Suosittelemme ilmoittamaan mahdollisista aiheeseen liittyvistä havainnoista esimerkiksi lomakkeellamme.

Haittaohjelma leviää ärhäkästi sisäverkossa

Alkuperäisen tartunnan jälkeen kiristyshaittaohjelma leviää sisäverkossa usealla eri tavalla, joten pelkkä koneiden päivitys ei suojaa kokonaan tartunnoilta. Petya-kiristyshaittaohjelma leviää sisäverkossa seuraavilla tekniikoilla:

  • MS17-010-haavoittuvuuden avulla (EternalBlue)
  • Psexec
  • Wmiexec
Psexec:in ja Wmic:n avulla haittaohjelma pystyy leviämään erittäin aggressiivisesti myös päivitettyihin koneisiin hyödyntämällä koneella saatavissa olevia käyttäjätunnuksia ja saastuttamaan muita sisäverkon laitteita, joihin voi kirjautua samoilla tunnuksilla. Erityisesti ylläpitotunnuksia sisältävät laitteet voivat saastuttaa nopeasti koko verkon.

Alkuperäinen tartuntavektori

Julkisuudessa esiintyneiden tietojen perusteella, alkuperäinen tartunta on todennäköisesti tapahtunut M.E.Doc -nimisen kirjanpito-ohjelmiston päivityksen kautta. Kirjanpito-ohjelmiston päivityspalvelin on murrettu ja se on määritelty tarjoamaan haittaohjelmaa kirjanpito-ohjelmiston päivityksenä. M.E.Doc on yleisesti Ukrainassa käytössä oleva verojen maksun yhteydessä käytettävä ohjelmisto.

Haittaohjelman leviämisen voi estää

  • MS17-010-haavoittuvuudelta voi suojautua asentamalla Windowsin korjauspäivitykset. Haavoittuvuus on korjattu maaliskuun päivityspaketissa.
  • Psexec- ja Wmiexec-leviämistapoja voi rajoittaa estämällä Group Policyn avulla admin$-levyjaon käytön.
  • Applockerin avulla voi estää 'perfc.dat'-nimen sisältävien tiedostojen suorituksen
  • M.E.Doc -kirjanpito-ohjelmiston automaattisten päivitysten estäminen

Petya salaa tiedostot ja ylikirjoittaa käynnistyslohkon

Haittaohjelma pyrkii ylikirjoittamaan kiintolevyn MBR-käynnistyslohkon ja käynnistää tietokoneen uudelleen tunnin päästä tartunnasta, jolloin käyttöjärjestelmän sijaan käyttäjälle esitetään lunnasvaatimus ja tiedostot salataan. Mikäli haittaohjelma ei onnistu ylikirjoittamaan kiintolevyn MBR:ää, aloittaa se välittömästi tietokoneella olevien tiedostojen salauksen.

Haittaohjelma salaa seuraavilla tiedostopäätteillä olevat tiedostot:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Petya salaa tiedostot käynnistyksen yhteydessä

Petyan esittämä kiristysviesti


Päivityshistoria

Asiasanat: Tietoturva , Kiristyshaittaohjelma , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248