Disruptiv debut til ny udgave af Petya ransomware

Et levn tilbage fra de tidlige 90’er, har endnu engang meldt sin ankomst på alverdens computere. Der er tale om en variant af Petya ransomwaren (også kendt som Petrwrap), der nu huserer rundt og laver ballade. Den stak også sit hovede frem i 2016, men det var kun for en kort hilsen. Denne gang refereres ransomwaren som Petya A eller NonPetya. Så vidt vides, udover at mange firmaer, offentlige institutioner, havne og lufthavne i USA, Rusland, Ukraine, Danmark, Tyskland, Frankrig, Italien, Polen og England, er den nye og mere robuste variant inspireret at det nylige WannaCry angreb fra maj måned. Denne nye type ransomware krypterer ikke alle filerne på computeren. I stedet angribes den del af operativsystemet, der hedder Master File Table (MFT). Herfra overskrives den del der hedder Master Boot Record (MBR) og ligesum WannaCry, så kræves der en løsesum, betalt="" i Bitcoin, fra offeret, hvis filerne ønskes retur.

Betydningen af Petya

MFT delen er kritisk for enhver computer, da det er denne del der indeholder oversigten over, hvor de forskellige filer er placeret. Et angreb giver samme effekt, som var det de enkelte filer der blev låst individuelt. Hvorfor er dette væsentligt? Jo, det er meget hurtigere at angribe MFT delen, i forhold til at kryptere hver fil individuelt, hvilket gør angrebet hurtigt og problemfrit.

Ifølge forskerne hos computersikkerhedsfirmaet Symantec, så bruges det hacker-værktøj (Eternal Blue), der oprindeligt blev udviklet af National Security Agency (NSA), til at bekæmpe WannaCry ransomwaren. Værktøjet blev lækket i april sidste år, af en gruppe kendt som Shadow Brokers.

Ifølge en forsker hos Armor, så er Petay angrebet designet til at være mere skadeligt, end WannaCry. Der er ingen åbenlys ’killswitch’ i denne virus, og det gør det svært at afbøde virkningen. Fordi denne version af Petay indeholder væsentligt opgraderede funktioner, så forventes det, at den kan angribe og inficere de seneste og opdaterede Windows PC’er, inklusiv version 10. WannaCry fokuserede primært på ældre systemer.

Hvis du er blevet inficeret ….

Selv med de bedste forholdsregler og den bedste sikkerhedspolitik på plads, er det muligt at blive offer for et angreb. I tilfælde af at dine data bliver holdt som gidsel af ransomware, er der nogle råd du kan huske på:

1. Forbliv rolig. Undgå beslutninger der kan forårsage yderligere tab af data. Hvis du for eksempel opdager en ransomware-infektion og slukker for strømmen til en server, kontra en kontrolleret nedlukning, så kan du miste data ud over de inficerede data.
2. Tjek din seneste backup. Hvis den er intakt og opdateret, så er der reelt ingen fare for datatab
3. Betal aldrig løsepenge, fordi:

• Det er forkert at betale til kriminelle!
• Angriberne låser måske ikke op for dine data.

Virksomheder bør arbejde sammen med datarekonstruktionseksperter, så der igen opnås tilgang til data

4. Kontakt en specialist for rådgivning og for at undersøge mulighederne for rekonstruktion. Vi kan undersøge dit problem for at se, om vi allerede har en løsning, eller om vi er i stand til at udvikle en løsning, indenfor en rimelig tid.

Til dato har ingeniører hos Ibas identificeret over 225 variationer af ransomware, der inficerer brugerenheder. Teamet af ingeniører hos Ibas arbejder døgnet rundt for at identificere og finde en løsning for hver ny type ransomware, de får kendskab til, så der er håb for dem, der er blevet ramt af ransomware.

Som altid – har du problemer med tilgangen til dine data, så ring til os på 70 22 34 00 – vi sidder parat 24/7 for at hjælpe dig.

Copyright: xuseru/pixabay.com/ CC0 Public Domain License