この攻撃は、世界中の企業に影響を与えている2ヶ月後の2番目の主要なトランスクリプト攻撃であるため、厄介です。 5月に、英国の国民保健サービス(NHS)がWannaCryというマルウェアに感染していたことを思い出してください。 このプログラムは、NHSと世界各地の多くの組織に影響を与えました。 WannaCryは、4月にShadow Brokersとして知られているハッカーによってNHSに関連する漏洩文書がオンラインで公開されたときに初めて公開されました。
WannaCryptとも呼ばれるWannaCryソフトウェアは、世界150カ国以上に設置された23万台以上のコンピュータに影響を与えました。 NHSに加えて、スペインの電話会社Telefonicaとドイツの州鉄道も攻撃されました。
WannaCryと同様に、「Petya」はMicrosoft Windowsを利用するネットワーク全体に急速に広がっています。 しかし、問題はそれは何ですか? また、なぜそれが起こっているのか、どのように停止できるのかを知りたい。
Ransomwareとは何ですか?
あなたが理解しなければならない最初のことは、 ransomwareの定義です。 基本的に、ransomwareは、コンピュータやデータへのアクセスをブロックするために動作するあらゆるタイプのマルウェアです。 それで、そのコンピュータやそのデータにアクセスしようとすると、あなたが身代金を支払わない限り、そのコンピュータにアクセスすることはできません。 かなり厄介な、そしてまったくの意味!
Ransomwareはどのように機能しますか?
また、トランスクリプトの仕組みを理解することも重要です。 コンピュータがransomwareに感染すると、暗号化されます。 つまり、コンピュータ上のドキュメントはロックされ、身代金を支払わずに開くことはできません。 物事をさらに複雑にするには、ファイルのロックを解除するために使用できるデジタルキーのために、身代金を現金ではなくBitcoinで支払う必要があります。 ファイルのバックアップがない場合、2つの選択肢があります。つまり、通常は数百ドルから数千ドルの身代金を支払うことができます。そうしないと、すべてのファイルにアクセスできなくなります。
"Petya" Ransomwareはどのように機能しますか?
"Petya"トランスクリプトは、ほとんどのトランスクリプトのように動作します。 それはコンピュータを引き継ぎ、Bitcoinで$ 300を要求します。 これは、1台のコンピュータが感染した場合に、ネットワークや組織全体に素早く広がる悪質なソフトウェアです。 この特定のソフトウェアは、Microsoft Windowsの一部であるEternalBlueの脆弱性を使用します。 マイクロソフトはこの脆弱性に対するパッチをリリースしましたが、誰もがそれをインストールしているわけではありません。 また、コンピュータにパスワードがない場合にアクセス可能なWindowsの管理ツールを使用して、ransomwareを配布することも可能です。 マルウェアが一方的に侵入することができない場合、マルウェアは自動的に別のものを試します。
したがって、サイバーセキュリティの専門家によると、「ペチャ」はWannaCryよりもはるかに簡単に普及しているという。
「Petya」から自分を守る方法はありますか?
「Petya」から自分自身を守る方法があれば、今のところ疑問に思うかもしれません。ほとんどの主要なウイルス対策企業は、「Petya」マルウェア感染を検出するだけでなく保護するためにソフトウェアを更新したと主張しています。 たとえば、シマンテックのソフトウェアは「Petya」から保護されており、カスペルスキーはすべてのソフトウェアを更新しており、お客様がマルウェアから身を守るために役立ちます。 さらに、Windowsを最新の状態に保つことで自分自身を守ることができます。 他に何もしなければ、Windowsが3月にリリースした重要なパッチをインストールしてください。これはこのEternalBlueの脆弱性を守ります。 これにより、感染する主要な方法の1つが停止し、将来の攻撃から保護されます。
「Petya」マルウェア流行の別の防衛線も利用可能であり、最近発見されただけです。 マルウェアはC:\ドライブでperfc.datという読み取り専用ファイルをチェックします。 マルウェアがこのファイルを検出した場合、マルウェアは暗号化を実行しません。 ただし、このファイルを持っていても実際にはマルウェアの感染を防ぐことはできません。 たとえユーザーが自分のコンピュータ上で気付かなくても、マルウェアをネットワーク上の他のコンピュータに広めることができます。
なぜこのマルウェアは「Petya」と呼ばれていますか?
実際、「技術的にはPetya」と呼ばれているわけではありません。代わりに、「Petya」と呼ばれる古いトランスクリプトのコードと多くのコードを共有しているようです。しかし、最初の大流行に続いて、セキュリティ専門家は、これら2つのransomwaresは、最初に考えられたほど似ていないことに気づいた。 そこで、Kaspersky Labの研究者は、マルウェアを「NotPetya」(オリジナルです)と「Petna」や「Pneytna」などの他の名前に言及し始めました。また、他の研究者はこのプログラムを「Goldeneye」ルーマニアからのビットディフェンダーは、それを呼ぶようになった。 しかし、 "Petya"はすでに立ち往生していた。
「Petya」はどこから始まったのですか?
「Petya」がどこから始まったのだろうか? これは、特定の会計プログラムに組み込まれているソフトウェアから更新メカニズムを使い始めたようです。 これらの企業はウクライナ政府と協力しており、政府がこの特定のプログラムを使用するよう求めました。 これがウクライナの非常に多くの企業がこれによって影響を受けた理由です。 組織には、銀行、政府、キエフのメトロシステム、主要なキエフ空港、州の電力会社が含まれます。
チェルノブイリの放射線レベルを監視するシステムもまた、ransomwareの影響を受け、最終的にオフラインになった。 この強制的な従業員は、手動ハンドヘルドデバイスを使用して除外ゾーンの放射線を測定します。 さらに、マルウェアでいっぱいだった電子メールの添付ファイルを特集したキャンペーンによって引き起こされたマルウェア感染の第2の波がありました。
どのくらい "ペチャ"感染が広がっていますか?
"Petya"トランスクリプトは広範囲に広がっており、米国とヨーロッパの両方の企業のビジネスを混乱させています。 例えば、米国の広告会社であるWPP、フランスの建設資材会社Saint-Gobain、ロシアの石油会社RosneftとEvrazも影響を受けました。 ピッツバーグの企業、ヘリテージ・バレー・ヘルス・システムズ(Heritage Valley Health Systems)もまた、「Petya」マルウェアに襲われている。 この会社は、ピッツバーグエリア全体で病院やケア施設を運営しています。
しかし、WannaCryと違って、 "Petya"マルウェアはアクセスするネットワークを介して素早く拡散しようとしますが、ネットワークの外部に広がることはありません。 この事実だけでは、このマルウェアの普及が制限されているため、このマルウェアの潜在的な犠牲者を実際に助けている可能性があります。 したがって、いくつの新しい感染が見られたかが減少しているようです。
サイバー犯罪者が「ペチャ」を送り出す動機は何ですか?
「Petya」が最初に発見されたとき、マルウェアの流行は、漏洩したオンラインサイバー兵器を利用するサイバー犯罪者の試みだったようです。 しかし、セキュリティ専門家が「Petya」マルウェアの流行に少しでも注意を払うと、支払方法の収集などのメカニズムは非常にアマチュアであるため、深刻なサイバー犯罪者が背後にあるとは考えていません。
まず、「Petya」マルウェアに付属する身代金メモには、すべてのマルウェア被害者にまったく同じ支払い先住所が含まれています。 プロがそれぞれの被害者のためにカスタムアドレスを作成するため、これは奇妙です。 第二に、被害者に、特定の電子メールアドレスを使用して攻撃者と直接通信するように要求します。特定の電子メールアドレスは、「Petya」被害者に電子メールアドレスが使用されたことが判明したときに直ちに中断されます。 つまり、ある人が300ドルの身代金を支払っても、攻撃者と通信することはできません。また、解読鍵にアクセスしてコンピュータやそのファイルのロックを解除することはできません。
攻撃者は誰ですか?
サイバーセキュリティの専門家は、プロフェッショナルなサイバー犯罪者が "Petya"マルウェアの背後にいるとは思わないので、誰ですか? 現時点で誰も知っていることはありませんが、リリースした人は、マルウェアを単純なランサムウェアのように見せたいと考えていますが、代わりに典型的なランサムウェアよりも破壊的です。 セキュリティ研究者のNicolas Weaverは、「Petya」は悪意のある、破壊的かつ意図的な攻撃だと考えています。 Grugqに行く別の研究者は、元の "Petya"はお金を稼ぐための犯罪組織の一部だと考えているが、この "Petya"は同じことをしていない。 彼らは、マルウェアが迅速に広がり、多くの被害をもたらすように設計されていることに同意します。
我々が言及したように、ウクライナは "Petya"によってかなり激しく打たれ、その国は指をロシアに指摘している。 これは、ウクライナが以前の数々のサイバー攻撃のためにロシアを非難したことを考えると驚くことではありません。 これらのサイバー攻撃の1つは2015年に発生し、ウクライナの電力網を対象としていました。 最終的には一時的に西ウクライナの一部を無力に残してしまった。 しかし、ロシアはウクライナのサイバー攻撃に関与していないことを否定している。
あなたはあなたがRansomwareの犠牲者であると信じていたらどうしたらいいですか?
あなたはトランスクリプト攻撃の犠牲者かもしれないと思いますか? この特定の攻撃はコンピュータに感染し、コンピュータが自発的に再起動し始める約1時間待機します。 このような場合は、ただちにコンピュータの電源を切ってください。 これにより、コンピュータ上のファイルが暗号化されないことがあります。 その時点で、ファイルをマシンから取り出してみることができます。
コンピュータが再起動を完了し、身代金が表示されない場合は、支払いを行わないでください。 犠牲者から情報を収集し、キーを送信するために使用された電子メールアドレスがシャットダウンされていることを覚えておいてください。 代わりに、インターネットとネットワークからPCを取り外し、ハードドライブを再フォーマットしてから、バックアップを使用してファイルを再インストールしてください。 常にファイルを定期的にバックアップして、ウイルス対策ソフトウェアを常に最新の状態に保つようにしてください。