Mida me teame uuest üle maailma levivast lunavarast? (10)

Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Uue viiruse edastatav sõnum
Uue viiruse edastatav sõnum Foto: ROB ENGELAAR, AFP, SCANPIX

Eksperdid ei ole veel täiesti kindlad, mida uus üle maailma leviv lunavara endast täpsemalt kujutab ja andmed on praegu vastukäivad, kuid mõned faktid on juba paika pandud.

Esiteks paistab enamik eksperte nõustuvat, et lunavara kasutab oma töös USA riikliku julgeolekuagentuuri NSA  välja arendatud küberrelva EternalBlue, mille varastas nende käest häkkerite grupp Shadow Brokers ja mida kasutas ka WannaCry. Küll aga ei ole EternalBlue uue viiruse arsenalis ainus relv, sest pärast WannaCry rünnakut on paljud süsteemid selle eest kaitstud.  

Kui WannaCry ründas uuendamata ja vähe turvatud süsteeme, siis uus viirus paistab silma eriliste probleemideta laastavat ka hästi turvatud suurkorporatsioonide võrke. Väljaande The Verge andmetel kasutab lunavara võrgu sees levimiseks Windowsi võrgutööriistu nagu Windows Management Instrumentation (WMI) ja PsExec. Mõlemad funktsioonid tegelevad kaugpääsu haldamisega. 

Teiseks on paljud küberturbega tegelevad ettevõtted spekuleerinud, et tegu võib olla versiooniga lunavarast nimega Petya. Küll aga ütles Karspersky Labi uurja Costin Raiu väljaandele Motherboard, et nende andmetel pole tegu siiski Petyaga, vaid hoopiski millegi uuega. Seega on nad andnud viirusele hüüdnime NotPetya.

Talos Intelligence, kes on andnud uuele viirusele nimeks Nyetya, kirjutab oma blogis, et viirus on mitme ründevektoriga (eelmainitud EternalBlue, WMI ja PsExec), kuid esimene vektor võis olla tarkvaraline uuendus Ukraina raamatupidamisprogrammile MeDoc ja hakkas sealt edasi levima. MeDoc ise on seda väidet eitanud.

Securelist toob välja, et viirus ootab peale arvuti nakatamist kusagil 10-60 minutit ja taaskäivitab siis arvuti. Taaskäivitamine ajastatakse kasutades süsteemitööriistu nagu «at», «schtasks» ja «shutdown.exe». Pärast taaskäivitamist alustab viirus NTFS failihaldussüsteemi põhitabeli krüpteerimist. Põhitabelis hoitakse kogu vajaminevat infot failide kohta (nt faili suurus, loomise kellaeg, ligipääsu load jne). Lisaks kirjutab viirus peabuutsektori üle lunarahanõudega.

Krebs on Security blogi spekuleerib, et lunavara tegelik eesmärk ei pruugigi olla raha kogumine. Lunaraha võib olla ainult maskeering ja eesmärk on hoopis katsetada, kui palju kahju on võimalik tekitada. Nimelt ei ole lunaraha tasumise võimalused just kõige paremini läbi mõeldud. Nimelt tahab viirus, et selle ohvrid suhtleks häkkeritega ühe kindla e-posti aadressi kaudu, mis ei ole just kõige jätkusuutlikum lahendus, sest postkasti haldaja lasi selle kinni panna. Nüüd ei olegi ohvritel võimalik ligipääsu oma arvutile tagasi saada. 

F-Secure'i tugikeskuse juhataja Raido Orumets ütles pressiteates, et käesolev pahavaraepideemia on professionaalsemalt teostatud ning ettevõtetele ohtlikum võrreldes hiljutise Wannacry epideemiaga. «F-Secure'i laborid on teinud kindlaks, et hetkel leviv pahavara kuulub Petya krüptovara perekonda. See suudab iseseisvalt levida ning kasutab sama turvanõrkust, mida kasutas ka Wannacry,» kirjutas Orumets.

Erinevalt Wannacryst ei krüpteerita Orumetsa sõnul mitte ainult failid, vaid suletakse ligipääs tervele kettale. Lunarahanõude suurus on 300 USA dollarit ning hetkel puudub kinnitus, et pärast tasumist oleks andmetele ligipääs taastatud.

«Ettevõtted peavad kindlasti lähipäevil olema eriti ettevaatlikud. Nagu ka Wannacry puhul jäävad soovitused samaks. IT administraatorid peavad veenduma, et Windowsi operatsioonisüsteemid oleksid uuendatud, tulemüürid seadistatud võimalusel blokeerima port 445st sisenevat liiklust ning veenduma, et infoturbetarkvara oleks töökorras,» rõhutas Orumets.

Tugikeskuse juht täpsustas Postimehele, et info on hetkel siiski vastukäiv ja viirustelaborid üle kogu maailma püüavad viiruses selgusele jõuda. F-Secure usub siiski, et tegu on Petya tüüpi viirusega. 

Postimehele teadaolevalt on küberrünnaku tõttu häiritud ka rahvusvahelise kulleriteenuse TNT (Thomas Nationwide Transport) pakitarne teenused. TNT peakorteris Liège's on praegu kinni kuni 100 000 pakki. 

Tehnilise abi veebileht Bleeping Computer kirjutab, et leitud on vaktsiin lunavara krüpteerimise, kuid mitte levimise vastu. Luues faili nimega perfc C:\Windows kausta ja muutes selle ainult loetavaks (read-only), on arvuti vaktsineeritud krüpteerimise vastu. Bleeping Computeri looja Lawrence Abrams lõi teofaili, mis kiirelt ja lihtsalt loob «vaktsiini». Fail on leitav siit! Hädalülitit ehk kill switchi, mis viiruse peataks, pole meile teadaolevalt veel leitud.

Väljaanne Motherboard teavitab, et Saksamaal asetsev e-posti teenusepakkuja sulges krüptorünnaku häkkeri e-maili konto, peatades sellega võimaluse saada dekrüpteerimise võtmeid. Posteo teatas, et nad ei tolereeri oma platvormi väärkasutust ja blokeerisid väljapressijate ligipääsu kontole ja e-kirjadele.

Telia Eesti turvaintsidentide valdkonnajuht Aare Kirna soovitab kõigil nakatumise vältimiseks paigaldada uusimad operatsioonisüsteemi ja rakendusprogrammide värskendused ja turvaparandused, hoida viirusetõrje ajakohane ja töös ning teha varukoopiaid ja hoida neid ülejäänud võrgust eraldi.

Kommentaarid (10)
Copy
Tagasi üles