В последните години киберпрестъпността се развива с бързи темпове, а хакерите стават все по-изобретателни. Сред най-опасните заплахи е рансъмуерът – зловреден софтуер, който криптира файловете на потребителя и иска откуп, за да ги възстанови. Една нова и особено тревожна разновидност на този тип атаки е HybridPetya.
HybridPetya е нов вид рансъмуер, който съчетава характеристики на прословутите зловредни програми Petya и NotPetya. Той обаче отива още по-далеч, като използва уязвимост в системата за сигурно стартиране на компютъра, позната като UEFI Secure Boot. Тази уязвимост вече е поправена, но това не прави заплахата по-малко опасна, ако системата ви не е актуализирана.
Как работи HybridPetya?
Рансъмуерът е открит от словашката компания за киберсигурност ESET, която го описва като изключително сложна заплаха. Основната мишена на HybridPetya е Master File Table (MFT) – таблицата, която съдържа цялата важна информация за файловете на твърдия диск, когато той е с файлова система NTFS, каквато се използва основно в Windows.
За да осъществи атаката си, HybridPetya инсталира специално злонамерено приложение в дяла за системни файлове на UEFI. Този дял е жизненоважен за стартирането на компютъра. След като бъде инсталирано, приложението започва да криптира MFT таблицата.
Процесът на заразяване се състои от два основни компонента:
Когато заразяването започне, програмата вижда, че компютърът е готов за криптиране. Тя променя стойността си, за да отбележи, че криптирането е започнало, и криптира важен системен файл с помощта на специален алгоритъм. В допълнение, създава файл, който следи кои части от диска вече са криптирани.
Защо Linux потребителите са в безопасност?
Това е важен момент, който си струва да се отбележи. Атаката на HybridPetya е насочена към конкретни файлови системи, използвани от операционната система Windows.
За да успее да криптира файловете, рансъмуерът се фокусира върху NTFS файловата система, тъй като в нея се намира MFT таблицата, която е основната му мишена.
Потребителите, които работят с операционна система Linux, обикновено използват различни файлови системи, като ext4, Btrfs или XFS. Тези файлови системи са напълно различни от NTFS и нямат MFT таблица. Ето защо HybridPetya не може да се ориентира в тях и не може да ги криптира.
Освен това, ако използвате LUKS (Linux Unified Key Setup) за криптиране на диска си, това е допълнителна защита. LUKS е инструмент за пълно дисково криптиране в Linux, който заключва целия диск с парола при стартиране. HybridPetya се фокусира върху EFI System Partition и Windows bootloader, а не върху LUKS заглушител (dm-crypt). Той няма код да заобикаля LUKS – няма да може да чете или пише в криптирания ви диск без паролата ви. Така че, ако сте на Linux с ext4 и LUKS, този ransomware ще се препъне още в началото. Това е напомняне колко е важно да избирате операционна система според нуждите си – Linux често е по-стабилен срещу такива атаки
Как изглежда атаката?
Докато рансъмуерът криптира файловете, той показва фалшиво съобщение на екрана, което имитира проверката на диска (CHKDSK). По този начин заблуждава жертвата, че компютърът просто поправя грешки в системата, докато всъщност криптирането върви с пълна сила.
След като процесът приключи, на екрана се появява бележка с искане на откуп. В конкретния случай, хакерите изискват 1000 долара в Биткойн. Екранът дава и възможност за въвеждане на код, който да стартира декриптирането. За щастие, в момента няма данни за мащабни атаки с този рансъмуер, което предполага, че той може да е още в тестова фаза.
Как да се предпазим?
Ето няколко основни съвета, които могат да ви помогнат да избегнете подобни атаки:
В заключение, HybridPetya е още едно доказателство, че заплахите в дигиталния свят постоянно се развиват. Ключът към сигурността е да бъдем информирани и да предприемаме превантивни мерки, които могат да ни спестят много главоболия.
