Μια νέα μέθοδο διάδοσης του λογισμικού που απαιτεί λύτρα για να… αποκρυπτογραφήσει τα αρχεία των θυμάτων του αλλά και να αφαιρέσει τα δεσμά που δένει τα Windows, αποκαλύπτει η Trend Micro. Το PETYA ransomware δεν κυκλοφόρησε μέσω έξυπνων e-mail και μολυσμένων δικτυακών τόπων, αλλά μέσω Dropbox και όχι μόνο κρυπτογράφησε αρχεία, αλλά απέτρεψε στα Windows την εκκίνηση.

Η διάχυση του κακόβουλου λογισμικού ξεκινά με την αποστολή ενός e-mail με θέμα την εκδήλωση ενδιαφέροντος για θέση εργασίας που παραπέμπει με έναν σύνδεσμο στο Dropbox όπου υποτίθεται φιλοξενείται το βιογραφικό του ενδιαφερόμενου. Αντ’αυτού όμως, διαπιστώνει η Trend Micro, ξεκινά μια σειρά ενεργειών που απειλούν… την ψυχική ηρεμία του θύματος.

Το link παραπέμπει σε έναν φάκελο στο Dropbox όπου υπάρχουν δύο αρχεία, ένα από τα οποία είναι συμπιεσμένο και αυτόματα εκτελέσιμο και το άλλο, η φωτογραφία του υποτιθέμενου αιτούντα. Όταν ο παραλήπτης του μηνύματος κάνει κλικ στο πρώτο αρχείο, ένα trojan μολύνει το σύστημά του και επεμβαίνει στο master boot record στο σκληρό δίσκο του συστήματος, με αποτέλεσμα τη γνωστή Blue Screen of Death των Windows (της μπλε οθόνης κρίσιμου σφάλματος στα Windows). Το Petya δεν σταματά όμως εκεί.

Εάν ο χρήστης επιχειρήσει να επανεκκινήσει το σύστημά του δεν το κατορθώνει -ούτε σε Safe Mode- και βλέπει στη θέση του λογοτύπου των Windows μια κόκκινη οθόνη που τον ενημερώνει για το πάθημά του και τον παραπέμπει σε μια σελίδα στο δίκτυο Tor για να καταβάλλει τα λύτρα (με 0,99 bitcoin, περίπου 430 δολάρια ή αντίστοιχα σε ευρώ) και να λάβει τον κωδικό αποκρυπτογράφησης των αρχείων του. Εάν το θέμα δεν καταβάλλει τα λύτρα εντός της διορίας, τότε το ποσό διπλασιάζεται.

Η Dropbox Inc. ενημερώθηκε για το Petya στις 25 Μαρτίου και ξεκαθαρίζει ότι δεν πρόκειται για κενό ασφαλείας στην υπηρεσία της. Αναγνωρίζει όμως το πλήγμα, βεβαιώνει ότι έχει αφαιρέσει το εκτελέσιμο κακόβουλο αρχείο, καθώς και άλλα link που παρέπεμπαν σε αυτό. Επιπλέον, η Dropbox δηλώνει πως μετά το περιστατικό αυτό εφαρμόζει διαδικασίες που της επιτρέπουν να διαφυλάξει την υπηρεσία της από ανάλογα περιστατικά, καθησυχάζοντας έτσι τους χρήστες της δημοφιλούς υπηρεσίας μοιράσματος αρχείων.

Ο κανόνας 3-2-1

Η ιαπωνική εταιρεία λύσεων ασφαλείας συνιστά στους χρήστες να εφαρμόζουν τον επονομαζόμενο κανόνα 3-2-1. Σύμφωνα με αυτόν, τρία αντίγραφα τουλάχιστον των σημαντικών αρχείων πρέπει να αποθηκεύονται σε δύο συσκευές και ένα τρίτο σε ένα τρίτο ασφαλές αποθηκευτικό μέσο.

Επίσης, η Trend Micro συνιστά στα θύματα ransomware να μην καταβάλλουν τα λύτρα, όχι γιατί οι θύτες δεν αποκρυπτογραφούν τα αρχεία, αλλά γιατί επιστρέψουν με νέες απαιτήσεις αφού διαπιστώνουν ότι το θύμα μπορεί να πληρώσει.

Επιπρόσθετα, επιμένουν ότι τα συστήματα πρέπει να διατηρούνται ενημερωμένα για να αποφευχθεί το καίριο πλήγμα από ransomware.