Petya/NotPetya-haittaohjelman leviäminen on rauhoittumassa

Laajasti uutisoidun Petya-haittaohjelman leviäminen maailmalla näyttää rauhoittuneen. Haittaohjelman uhreiksi on joutunut pääasiassa yrityksiä tai organisaatioita, joilla on toimintoja Ukrainassa. Suomessa on havaittu yksittäisiä uhreja.

Maailmalla tiistaina valloilleen päässeen Petya/NotPetya-haittaohjelman leviäminen näyttää rauhoittuneen. Maailmanlaajuisesti uhreiksi joutui useita suuriakin yrityksiä tai organisaatioita mutta pääasiassa kaikilla uhreilla on ollut jotain toimintoja Ukrainassa. Laajan leviämisen yhteydessä haittaohjelma nimettiin Petyaksi, sen sisältäen useita samoja merkkijonoja kuin alkuperäinen Petya-kiristyshaittaohjelma. Useat tietoturvatutkijat ovat kuitenkin esittäneet huomioita, että nyt levinneen haittaohjelman toiminta eroaa merkittävästi alkuperäisestä Petya-kiristyshaittaohjelmasta, ja siksi nyt laajasti levinneestä haittaohjelmasta on käytetty myös nimiä NotPetya ja ExPetr.

Alkuperäinen tartuntatapa

Petya/NotPetya-haittaohjelman alkuperäiseksi tartuntatavaksi on varmistunut Ukrainassa laajasti käytetty M.E.Doc -kirjanpito-ohjelmisto. Kirjanpito-ohjelmiston päivityspalvelin oli murrettu ja se oli asetettu tarjoamaan haittaohjelmaa kirjanpito-ohjelmiston päivityksenä.

Millainen haittaohjelma Petya/NotPetya/ExPetr on?

Alunperin Petya/NotPetya-haittaohjelma luokiteltiin kiristyshaittaohjelmaksi koska se salaa saastuneen koneen tiedostot ja yrittää tämän jälkeen levitä verkon muihin tietokoneisiin. Tietoturvayhtiö Kasperskyn tarkemman analyysin perusteella Petya/NotPetya ei kuitenkaan vaikuta olevan kiristyshaittaohjelma, vaan tiedostoja tuohoava haittaohjelma eli niin kutsuttu wiper. Tiedostot salattuaan Petya/NotPetya -haittaohjelma pyytää käyttäjää maksamaan lunnaat kryptovaluutta bitcoineina ja lähettämään yksilöllisen tunnisteen sähköpostilla, jonka avulla uhri pitäisi saada yksilöityä. Tarkemman analyysin perusteella yksilöllisellä tunnisteella ei ole mahdollista selvittää tiedostojen salaukseen käytettyä avainta.

Kannattaako lunnaita maksaa?

Lunnaita ei missään tapauksessa kannata maksaa! Haittaohjelman tekijöiden käyttämä sähköpostiosoite on suljettu eli käytännössä hyökkääjien tavoittaminen sähköpostitse on mahdotonta. Tarkemmassa analyysissä on lisäksi selvinnyt, että yksilöllisellä tunnisteella ei todennäköisesti ole edes teoriassa mahdollista palauttaa tiedostojen salaukseen käytettyä avainta.

Suojautumiskeinoja

  • MS17-010-haavoittuvuudelta voi suojautua asentamalla Windowsin korjauspäivitykset. Haavoittuvuus on korjattu maaliskuun päivityspaketissa.
  • Psexec- ja Wmiexec-leviämistapoja voi rajoittaa estämällä Group Policyn avulla admin$-levyjaon käytön.
  • Applockerin avulla voi estää 'perfc.dat'-nimen sisältävien tiedostojen suorituksen
  • UEFI:n ja SecureBootin käyttö (estää tietokoneen uudelleenkäynnistyessä salausohjelmiston aktivoitumisen)
  • Yksilöllisten paikallisten ylläpitäjien (local administrator) tunnusten käyttö

Lisätietoja aiheesta:

https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b


Päivityshistoria

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248