Hrvatski stručnjaci za računalnu i informacijsku sigurnost očekivali su novi hakerski napad i to novom varijantom Petya ransomwarea, poznatijim i pod nazivom Petwrap.
“Potvrđeni su slučajevi zaraza u više država nad različitim sektorima poslovanja, uključujući bankarski i energetski sektor te državne institucije. Isto ukazuje kako napadi ne ciljaju specifične sustave. Analitičari su primijetili da se zaraza širi istom metodom kao i WannaCry, koristeći ranjivost u SMBv1 (EternalBlue).
Postoje dokazi da Petwrap ne kriptira datoteke kao ostali ransomwarei nego ponovno pokreće operativni sustav računala, kriptira Master File Table (MFT) i učini Master Boot Record (MBR) neoperabilnim, ograničavajući pristup cijelom sustavu. Time ne dozvoljava pristup imenima datoteka, njihovim veličinama i lokaciji na fizičkom disku. Petwrap zamijeni MBR računala sa svojim kodom koji prikazuje poruku i onemogućuje pokretanje računala”, objasnili su za Svijet sigurnosti stručnjaci iz tvrtke Diverto.
Postoje potvrde da se Petwrap širi lateralno internom mrežom koristeći PsExec i WMIC, što ukazuje da posjeduje mogućnost krađe korisničkog imena i lozinke. To je razlog zašto se i zakrpani sustavi sa zakrpom MS17-010 mogu zaraziti. Iako je sustave nužno kontinuirano nadograđivati, za informaciju je korisno imati na umu kako nije potvrđena povezanost napada iz naslova s ranjivostima CVE-2017-0199 (ranjivosti Microsoft Office paketa).
Iz Diverta preporučuju:
• onemogućiti WMIC
• onemogućiti ADMIN$
• ne koristiti korporativni VPN na nezaštićenim mrežama
• nadogradnje sustava poznatim zakrpama MS17-010 (provjeriti s trećim stranama koje održavaju
sustave je li navedena zakrpa instalirana)
• gdje je moguće, filtriranje porta TCP445, UDP137-138 i TCP139
• filtriranje otvorenog RDP porta 3389
• onemogućiti SMBv1 (https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disablesmbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012?utm_content=bufferf993c&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer)
• osiguranje postojanje sigurnosnih kopija podataka (back-up)
• izvanmrežno preuzimanje zakrpe
(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)
• Korištenje sigurnosnih alata (antivirus, mrežna anti-malware rješenja, IDS i sl.) te njihovo
ažuriranje
• korištenje AppLockera te ostale mjere ograničavanja izvršavanja nepoznatih programa
U slučaju zaraze, preporučuju se standardne procedure, a to su:
• Ne plaćati otkupninu
• Isključiti računalo s mreže
• Obavijestiti nadležne osobe za održavanje sustava ili osobe zadužene za upravljanje incidentima
