Žrtve Petya Ransomware sada mogu da povrate svoje podatke

Verovatno ste svi do sad čuli za Petya Ransomware. Talas, koji je zahvatio oko 64 zemlje do 27. juna 2017. godine, zarazio je otprilike 12.500 kompjutera samo u Ukrajini, napadajući ključne segmente infrastrukture ove zemlje, što je pokazalo koliko su ranjivi sistemi koji su umreženi.

Napadi koji su izazvali najviše posledica ipak su zabeleženi u Velikoj Britaniji, gde su bolnice i klinike morale da otkažu prijem i pregled pacijenata, jer nisu imale pristup kompjuterima.

Ovi napadi su svakako imali ucenjivačku crtu: žrtve bi otvarale zaražene fajlove u e-mejlovima, koji su na prvi pogled izgledali kao da sadrže fakture, poslovne ponude, sigurnosna upozorenja i druge dokumente. Softver bi zatim restartovao uređaj, a na ekranu bi se pojavili zahtevi napadača, sa uputstvima kako i gde da se izvrši uplata da bi se povratili hakovani fajlovi.

Korisnici koji su bili žrtve Petya Ransomware napada ipak imaju sreće, pošto je besplatna alatka kojom će moći da dešifruju svoje fajlove, ukloliko su ih sačuvali, od nedavno postala dostupna.

Tokom 2016. godine kreator Petya virusa, čiji je online alijas Janus, napravio je tri odvojene verzije programa, koji su u anti-virusnoj industriji poznati pod nazivima Red Petya, Green Petya i Goldeneye. U međuvremenu su otkrivene još dve varijante, ali stručnjaci pretpostavljaju da su napravljene od strane nepoznatih hakera, koji nisu imali pristup izvornom Petya kodu, pa su koristili delove koda do kojih su mogli da dođu, a sa ciljem da u njih ubace sopstvene delove za šifrovanje.

Jedna od te dve ‘piratizovane’ verzije je i NotPetya, koja je pogodila kompanije i organizacije u Ukrajini u junu 2017. godine, a druga verzija, poznata pod nazivom PetrWrap, korišćena je za napade koji su se dogodili u martu iste godine.

Novu alatku za dešifrovanje fajlova koji su bili ‘žrtve’ Petya-e napravila je analitičarka internet virusa, karakterističnog online imena Hasherezade, a koja sarađuje sa prodavcem antivirus programa, Malwarebytes. Alatka koristi jedinstveni ključ za varijante Red Petya, Green Petya i Goldeneye, a postala je dostupna početkom jula 2017. godine, te funkcioniše samo na fajlovima koje je napala prva Petya, ali ne i PetrWrap ili NotPetya. “U slučaju da imate backup za hard disk koji je napala Petya, ovo je pravi trenutak da ga ponovo aktivirate i zauvek iz njega isterate virus,” napisala je Hasherezade u postu na Malwarebytes Labs blogu.

Virusni program funkcioniše tako što upisuje svoj kod u deo diska koji sadrži zapis o načinu na koji je disk (ili više njih) podeljen na particije, te koja je od njih aktivna (MBR), a aktivira se kada se sistem pokrene. Svrha ovog koda je da šifruje specijalni fajl, koji sadrži informacije o svim drugim fajlovima koji su sačuvani na particiji (Master FIle Table).

Vraćanje oštećenog MBR-a trebalo bi da bude jednostavno, ali sa ugroženim MFT-om (Master FIle Table) Windows ne bi mogao da pročita fajlove sa diska, budući da je većina njih smeštena u različite sektore. Drugim rečima, operativni sistem bi ‘potpuno oslepeo’.

Alatka za popravku funkcioniše tako što prvo izvuče takozvanu ‘identifikaciju za žrtvu napada’, jedinstveni niz koji je povezan sa glavnom šifrom. Ova identifikacija je neophodna kako bi se povratile sve pojedinačne šifre koje su korišćene da bi se šifrovali fajlovi žrtava napada. Jednom kad korisnici dobiju svoje jedinstvene šifre moći će da download-uju i koriste specijalne programe za dešifrovanje, a programi će se razlikovati u odnosu na to o kojoj se verziji Petya-e radi.

Izvor: forbes.com

Ni Androidi nisu imuni na viruse

Koliko će nam trebati vremena da shvatimo da su naši pametni telefoni i tableti u koje gledamo najveći deo dana podložni malicionznim napadima? Dok jedan ne zadesi nas? Svaka nova iteracija Androida se trudi da bude bezbednija od prethodne, ali otvorenost operativnog sistema je njegova najveća prednost i njegova najveća mana.

trojansKompanija koja dobar deo svojih resursa troši na praćenje malicioznih softvera i koja je okrenuta proaktivnom pristupu – Kaspersky Lab nedavno je ukazala na modifikaciju Gugi bankarskog trojanca, koji ima sposobnost da zaobiđe bezbednosne elemente na Android 6 operativnom sistemu, kreirane sa ciljem da blokiraju „fišing“ i ransomware napade.

Modifikovan trojan virus „tera“ korisnike da mu daju pravo da zameni prave aplikacije, šalje i gleda SMS poruke, pravi pozive i izvršava druge maliciozne radnje. Kriminalci distribuiraju virus koristeći tehniku socijalnog inženjeringa, a njegova rasporostranjenost raste velikom brzinom: u periodu između aprila i početka avgusta 2016. godine, broj žrtava ovog virusa povećao se deset puta.

Iako je krajem prošle godine puštena u rad nova verzija Android operativnog sistema (Android 6) koja sadrži određene bezbednosne elemente koji blokiraju takve napade, stručnjaci kompanije Kaspersky Lab su detektovali modifikaciju Gugi bankarskog trojanca koja uspešno može da zaobiđe ove nove bezbednosne elemente.

mobile-virus

Osim sposobnosti da zaobiće nove bezbednosne elemente, Gugi je klasičan bankarski trojanac: on krade finansijske informacije, SMS poruke i kontakt podatke, pravi USSD zahteve i šalje SMS poruke u skladu sa zahtevima koji stižu sa komandnog servera. Do sada je 93 odsto korisnika koji su bili žrtve Gugi trojan virus bilo iz Rusije, ali je broj njegovih žrtava u konstantnom porastu.

Početna infekcija modifikovanim trojan virusom sprovodi se pomoću tehnike socijalnog inženjeringa, obično uz pomoć spam SMS poruka koje podstiču korisnike da posete maliciozni link. Nakon što je instaliran na uređaju, trojanac pokušava da dobije pristupna prava koja su mu neophodna za dalje inficiranje. Kada je spreman, malver prikazuje sledeće obaveštenje na korisničkom ekranu (na engleskom jeziku): „neophodna su dodatna prava kako biste mogli da nastavite da koristite telefon”, pri čemu postoji samo jedan taster na koji korisnik može da klikne, i na taj način dozvoli malveru da preuzme njegov telefon.
Kada korisnici kliknu na ovaj taster, prikazuje im se ekran koji traži od njih dozvolu za upravljanje aplikacijama. Nakon dobijanja ove dozvole, trojan virus će blokirati telefon uz poruku u kojoj traži „administratorsk prava“, kao i dozvolu da šalje i čita SMS poruke, kao i da pravi pozive.
Ako trojan virus ne dobije sve dozvole koje su mu neophodne, on će u potpunosti blokirati inficiran uređaj.  Ako se to dogodi, jedina opcija za korisnika je da fabrički resetuje uređaj i pokuša da izbriše virus, međutim to je veoma teško ako je trojanac prethodno dobio „administratorska prava“.

PrintNekoliko jednostavnih koraka koje možete preduzeti kako biste se zaštitili od Gugi trojanaca i sličnih pretnju:

•    Izbegavajte automatsko davanje prava i dozvola drugim aplikacijama – razmislite o tome šta aplikacija traži od vas i zbog čega.
•    Instalirajte rešenje za borbu protiv malvera i redovno ažurirajte operativni sistem.
•    Izbegavajte posećivanje linkova u porukama koje ste dobili od ljudi koje ne poznajete, ili neočekivanim porukama od poznanika i prijatelja.
•    Uvek budite obazrivi kada posećujete veb stranice: ako nešto izgleda makar malo sumnjivo, postoji velika verovatnoća da zaista jeste

IT klinika: Ransomware i ostale napredne pretnje

Navikavanje korisnika na obavezno korišćenje antivirusnih programa bilo je sporo: mnogi su tu praksu uveli tek pošto su se suočili sa zarazom. I, taman pošto su korisici naučili da odmah po instalaciji Windows-a postave i antivirusni program (deo zasluge za to nosi i Microsoft jer je u novije verzije Windows-a ugradio Action Center koji korisnicima „dosađuje“ porukama da odmah instaliraju antivirus), zli hakeri su izmislili nove i još opasnije pretnje sa kojima klasični antivirusni programi ne umeju da izađu na kraj

upomoc

Najopasniju od savremenih pretnji predstavlja crypto ransomware: zlonamerni kod koji će šifrovati vaše podatke, a zatim će od vas zatražiti otkupninu, tj. novac da bi ih vratio u prvobitno stanje; ništa manje nisu opasni ni brojni „obični“ virusi koji deluju brzo i naprave štetu pre pre nego što antivirusne kompanije uspeju da ih „ulove“ i ažuriraju definicije (zero-day), kao ni zlonamerni programi koji se maskiraju i distibuiraju putem phishing-a.

Kako se zaštititi od ovih naprednih pretnji? Uputstva ćete naći u priloženom PDF dokumentu IT klinike, ali nemojte se zaustaviti na tome: zlonamerni hakeri neprestano smišljaju nove pretnje, pa je vrlo poželjno da budete u toku. Kako? S vremena na vreme, obavezno svratite na sajt IT klinike.

Najveća krađa naloga na Apple-u – više od 225.000 uređaja napadnuto

Više od 225.000 Apple-ovih telefona i tableta pretrpelo je napad nove porodice virusa „KeyRaider”.

iphone.min_„Smatramo da je to dosad najveća krađa naloga na Apple-u izazvana određenim virusom”, objavila je kompnanija Palo Alto Netvorks na svom sajtu, a prenosi Tanjug.

Istraživanje je pokazalo da su virusom bili pogođeni korisnici iz ukupno 18 zemalja, među kojima je Kina, ali i Francuska, Rusija, Japan, Velika Britanija, SAD, Kanada, Nemačka, Australija, Izrael, Italija, Španija, Singapur i Južna Koreja, prenosi portal francetvinfo.fr.

Virus funkcioniše tako što preseca komunikaciju uređaja s iTunes-om, i tako hakeri dolaze u posed, između ostalog, naloga na uređaju,uključujući i lozinku.

Neke žrtve virusa konstatovale su abnormalne kupovine, druge doživele hakersku blokadu uređaja koji su potom od njih tražili otkup.

Iz Apple-a je saopšteno da su problemom bili pogođeni isključivo oni koji ne samo da su deblokirali svoje uređaje da bi omogućili korišćenje funkcija koje ne upotrebljava proizvođač, već su i preuzeli virus pristupajući nebezbednim izvorima. Preduzete su sve mere da se zaštite pogođeni tim problemom, dodali su iz Apple-a.

Izvor: Tanjug

Kasperski i Equation grupa

Ruska kompanija Kasperski Lab posle dužeg istraživanja rešila je jednu od najtežih „jednačina“ do sada i došla do otkrića moćnog tima kompjuterske špijunaže, koji je nazvala Equation grupa. Iako nije tačno poznato kada je grupa počela s radom, smatra se da je aktivna već skoro dve decenije, a njihovi napadi realizovani su na neobične načine.

Equation-group-1Equation grupa je veoma kompleksan tim koji je povezan s mnogim napadima na računare i mreže kompanija u više od 40 zemalja. Neki od ovih napada datiraju još iz 2001. godine. Sumnja se da je grupa sa svojim malicioznim softverima aktivna još od 1996, jer su pojedini bili dizajnirani za Microsoft Windows 95/98/Me. Tokom tog perioda zaražen je veliki broj računara u finansijskim, državnim i diplomatskim institucijama, medijskim i vojnim organizacijama, telekomunikacionim, avio, energetskim, naftnim i gasnim kompanijama. Napadnuti su i računari specijalne namene u osetljivim istraživačkim centrima koji se bave nuklearnom tehnologijom i kriptografijom, kao i računari islamskih aktivista i naučnika.

U dubinama hard‑diska

Kasperski je tim napadača koji stoje iza ovih veoma kompleksnih kompjuterskih napada nazvao Equation grupa. To je zato što vole da koriste kriptografske algoritme, prikrivenu strategiju i sofisticirane metode za svoje operacije. U malicioznim softverima najčešće koriste posebnu implementaciju RC5 algoritma, mada se sreću i RC4, RC6, AES, kao i druge kriptografske i heš funkcije.

Otkrivanjem Equation grupe došlo se do saznanja da postoje kompleksnije vrste napada na kojima se zasnivaju mnoge otkrivene zloupotrebe. Do sada je Kasperski detektovao nekoliko malicioznih softverskih platformi koje koristi samo Equation grupa. Ovu familiju za sada čine moduli: EquationDrug, DoubleFantasy, TripleFantasy, GrayFish, Fanny i EquationLaser.

Moduli EquationDrug i GrayFish koriste se za reprogramiranje  firmverana hard‑diskovima mnogih poznatih proizvođača kao što su Maxtor, Western Digital, Seagate, Toshiba… Ubacivanjem malicioznog softvera u firmver diska omogućava se njegov opstanak i posle formatiranja ili reinstalacije operativnog sistema. Pojedini delovi hard‑diska mogli su da budu zamenjeni malicioznim kodom tokom pokretanja OS‑a, a moduli su mogli čak i da spreče brisanje pojedinih sektora diska. Reprogramiranje  firmveraomogućava formiranje skrivenog sektora unutar hard‑diska. Na njemu se čuvaju prikupljene informacije, koje se kasnije prosleđuju napadaču. Veliki broj hard‑diskova ima funkciju za upis u firmver (zbog update‑a) ali ne i da se upisano pročita. Zbog toga je veoma teško, gotovo nemoguće, da se ovi maliciozni softveri primete.

Specifičan je i crv Fanny, koji je počeo da se koristi 2008, a otkriven je u decembru iste godine. Za svoje širenje Fanny je koristio Stuxnet LNK exploit i USB prenosive memorije. Glavni cilj ovog crva bio je da se informacije preko prenosive memorije s računara koji je u izolovanoj mreži prenesu na računar koji je na Internetu.

Ko stoji iza Equation grupe?

I Equation grupa i dobro poznati Regin koriste multimalicioznu softversku platformu. Zbog takve složenosti za razvoj Regin‑a, kao i malicioznih softvera Equation grupe bilo je potrebno više meseci, a možda čak i godina, kao i veoma stručan i kompleksan tim. Iako trenutno nije uočena povezanost između Equation grupe i Regin‑a, nije isključeno da im je možda idejni tvorac isti (neka država).

Kompanija Kasperski ne navodi poreklo ove grupe, mada mnogi smatraju da je Equation grupa organizovana u SAD. Ovi maliciozni programi najrasprostranjeniji su na prostoru Rusije, Kine, Indije, Irana, Sirije, Pakistana i Avganistana. Postoji i povezanost s virusom Stuxnet, pa bi iza Equation grupe mogla da stoji američka Agencija za nacionalnu bezbednost (NSA). Pored toga, postoji sličnost između napada Equation grupe i Regin‑a za koji se veruje da je proizvod američke vlade. Sve u svemu, mnogo pitanja a malo odgovora, kao i uvek kada se zaviri u tajanstveni svet špijuna…

Luka Milinković

(Objavljeno u časopisu PC#219)

Poklanjamo G Data antiviruse

Za sve svoje čitaoce redakcija PC Pressa je, u saradnji sa kompanijom Singi, pripremila posebno iznenađenje. Reč je o korisnom i vrednom poklonu koji čeka kupce u PC Pressovoj prodavnici – antivirus G Data Total Protection 2013. Naime, svako ko (namerno ili slučajno) zaluta na web adresu prodavnica.pcpress.rs i tu pronađe nešto za sebe, u vrednosti od najmanje 3.000 dinara, postaće vlasnik G Data Total Protection antivirusa, čija je vrednost 4.830 dinara.

Pack_shot_-_Consumers_-_G_Data_TotalProtection_2013Promotivni period traje do kraja marta, pa će svako ko, na primer, poruči godišnju pretplatu na časopis PC Press po ceni od 3.570 dinara, na poklon dobiti i kompletno rešenje za bezbednost računara ili mobilnog uređaja. U okviru ovog sveobuhvatnog bezbednosnog paketa nalaze se tehnologije koje će sprečiti računarske viruse, upade hakera, spam, i druge internet pretnje. Među alatima za zaštitu, na raspolaganju su i sistem za backup, modul za zaštitu poverljivih podataka od gubitka ili neovlašćenog kopiranja, sistem za bezbednosno “štelovanje operativnog sistema, kao i mogućnost izrade posebnog DVD-a za čišćenje računara koji su već zaraženi.

G-Data Total Protection je zaštita koju bez bojazni možemo preporučiti, a zahvaljujući našoj akciji, možete je dobiti gratis uz neko od PC Pressovih izdanja, sve do 31. marta.

 

Tri nova zlonamerna programa povezana sa virusom Flame

Istraživanje koje je sprovela kompanija Kaspersky Lab u saradnji sa kompanijama unije ITU, IMPACT, CERT-Bund/BSI i Symantec, otkriva da virus Flame datira iz 2006. godine i još uvek je u razvoju

Kompanija Kaspersky Lab objavila je rezultate novog istraživanja u vezi sa otkrićem sofisticirane sajber špijunaže zasnovane na virusu Flame. Tokom istraživanja, koje je sprovela kompanija  Kaspersky Lab u saradnji sa ogrankom za sajber sigurnost Međunarodne unije za telekomunikacije (ITU), IMPACT, CERT-Bund/BSI i Symantec, brojni serveri za komandu i kontrolu (C&C) koje su zarazili kreatori virusa Flame, analizirani su detaljno. Analiza otkriva nove, revolucionarne činjenice o virusu Flame. Među najvažnijim otkrićima su i tragovi o još tri neotkrivena zlonamerna programa, a otkriveno je i da platforma virusa Flame datira iz 2006. godine.

Glavna otkrića:

  • Razvoj platforme za komandu i kontrolu virusa Flame počeo je još u decembru 2006. godine
  • Serveri komande i kontrole prerušeni su da izgledaju kao uobičajeni sistem za upravljanje sadržajem, kako bi sakrili pravu prirodu projekta.
  • Serveri su bili u mogućnosti da prime podatke iz zaraženih mašina na četiri različita načina, a samo jedan od njih je napadao pomoću virusa Flame.
  • Postojanje tri dodatna protokola koji ne koriste virus Flame su dokaz da su kreirana bar još tri zlonamerna programa povezana sa virusom Flame, ali njihova priroda je trenutno nepoznata.
  • Jedna od tih nepoznatih zlonamernih programa povezanih sa virusom Flame, trenutno se širi svakodnevno i bez kontrole.
  • Bilo je naznaka da je platforma C&C još uvek u fazi razvoja, a pominje se i jedan komunikacioni plan nazvan „Crveni protokol“, ali on se još uvek ne primenjuje.
  • Ne postoji dokaz da su C&C serveri virusa Flame korišćeni za kontrolu drugih poznatih zlonamernih programa, kao što su Stuxnet ili Gaus.

Kampanju sajber špijunaže uz pomoć virusa Flame prvobitno je otkrila kompanija Kaspersky Lab u maju 2012. godine, tokom istrage koju je pokrenula Međunarodna unija za telekomunikacije. Ubrzo nakon ovog otkrića, ITU-IMPACT reagovao je obavestivši 144 nacije članice o napadu i načinima zaštite. Kompleksnost koda i potvrđeno postojanje veze sa programerima virusa Stuxnet, ukazali su na činjenicu da je virus Flame još jedan primer sofisticirane sajber špijunaže. Prvobitno je procenjeno da je virus Flame počeo sa radom 2010. godine, ali nakon prve analize njegovog servera za komandu i kontrolu (pokriveno najmanje 80 poznatih internet domena) ovaj datum je pomeren dve godine unapred.

Saznanja u ovom istraživanju zasnovana su na analizi sadržaja dobijenog od nekoliko servera za komandu i kontrolu koje je koristio virus Flame. Ova informacija je sačuvana uprkos tome što je infrastruktura za kontrolu virusa Flame prestala sa radom odmah nakon što je kompanija Kaspersky Lab objavila postojanje ovog zlonamernog programa. Svi serveri su koristili  64-bitnu verziju operativnog sistema Debian, a za virtuelizaciju OpenVZ kontejnere. Veći deo serverskog koda je napisan u PHP programskom jeziku. Stvaraoci virusa Flame koristili su određene metode kako bi server za komandu i kontrolu izgledao kao običan sistem za upravljanje sadržajem, kako ga ne bi primetili hosting provajderi.

Sofisticirana metoda šifrovanja korišćena je tako da niko, osim napadača, nije mogao da dobije podatke iz zaraženih mašina. Analizom programa koji su korišćeni za rukovanje prenosom podataka na žrtve, otkrivena su četiri komunikaciona protokola, a samo jedan od njih je kompatibilan sa virusom Flame. To znači da su najmanje još tri vrste zlonamernih programa koristile ove servere komande i kontrole. Postoji dovoljno dokaza da se najmanje jedan zlonamerni program povezan sa virusom Flame širi svakodnevno i bez kontrole. Ovi nepoznati zlonamerni programi tek treba da budu otkriveni.

Još jedan važan rezultat ove analize je da je razvoj platforme za komandu i kontrolu virusa Flame počeo još u decembru 2006. godine. Postoje naznake da je platforma još uvek u procesu razvoja, jer je na serverima pronađen novi protokol nazvan „Crveni Protokol“, mada još uvek nije u primeni. Poslednje prepravke na serverskom kodu načinio je jedan od programera 18. maja 2012. godine.

„Bilo je teško da procenimo količinu podataka ukradenih pomoću virusa Flame, čak i nakon analize njegovog servera za komandu i kontrolu. Kreatori virusa Flame dobro su pokrili svoje tragove. Ali jedna greška napadača pomogla nam je da otkrijemo više podataka koje je server trebalo da sačuva. Na osnovu ovoga videli smo da je nedeljno više od pet gigabajta podataka poslato ovom serveru, sa više od 5.000 zaraženih mašina. Ovo je svakako primer masovne sajber špijunaže“, prokomentarisao je Aleksandar Gostev, glavni ekspert za bezbednost u kompaniji Kaspersky Lab .

Detaljna analiza sadržaja servera za komandu i kontrolu virusa Flame objavljena je na veb sajtu Securelist.com.

Da biste saznali više o virusu Flame, pročitajte deo sa često postavljenim pitanjima (FAQ): https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Izvor: Kaspersky Lab