Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:lk006908911 [2026/02/03 12:12] Lucija Klanjac [Sličnosti s prethodnim ransomwareima] |
racfor_wiki:seminari2025:lk006908911 [2026/02/03 12:27] (trenutno) Lucija Klanjac [Zaključak] |
||
|---|---|---|---|
| Redak 69: | Redak 69: | ||
| Naziv, poruka o otkupnini na ekranu i sličan „kriptoviralni” profil činili su napad NotPetya naizgled ransomwareom, | Naziv, poruka o otkupnini na ekranu i sličan „kriptoviralni” profil činili su napad NotPetya naizgled ransomwareom, | ||
| - | + | Pravi ransomware napadači u pravilu pokušavaju motivirati žrtvu na plaćanje kako bi dobila podatke natrag, pa im je primarni motiv novac, a ne trajno oštećenje sustava. Kako je napad kasnije potencijalno povezan s ruskom skupinom, **zaključuje se da je napad NotPetya vjerojatno imao i političku motivaciju**. [3] | |
| - | Pravi ransomware napadači u pravilu pokušavaju motivirati žrtvu na plaćanje kako bi dobila podatke natrag, pa im je primarni motiv novac, a ne trajno oštećenje sustava. | + | |
| - | + | ||
| - | Kako je napad kasnije potencijalno povezan s ruskom skupinom, **zaključuje se da je napad NotPetya vjerojatno imao i političku motivaciju**. [3] | + | |
| ===== Početak zaraze ===== | ===== Početak zaraze ===== | ||
| Redak 99: | Redak 96: | ||
| Objašnjenje slike: | Objašnjenje slike: | ||
| - | - Crveno su poruke koje šalje klijent → poslužitelj (zaraženo računalo prema serveru). | + | * Crveno su poruke koje šalje klijent → poslužitelj (zaraženo računalo prema serveru). |
| - | - Plavo su poruke koje šalje poslužitelj → klijent. | + | |
| Ključna stvar je da komunikacija ide prema upd.me-doc.com.ua (izgleda kao legitiman update server), a prikupljeni podaci se skrivaju u HTTP Cookie zaglavlju. | Ključna stvar je da komunikacija ide prema upd.me-doc.com.ua (izgleda kao legitiman update server), a prikupljeni podaci se skrivaju u HTTP Cookie zaglavlju. | ||
| Redak 160: | Redak 158: | ||
| Napad NotPetya se za širenje često oslanja na krađu pristupnih podataka. To radi na nekoliko načina: | Napad NotPetya se za širenje često oslanja na krađu pristupnih podataka. To radi na nekoliko načina: | ||
| * **čita LSASS memoriju** (kao alat Mimikatz) i pokušava izvući spremljena korisnička imena i lozinke, | * **čita LSASS memoriju** (kao alat Mimikatz) i pokušava izvući spremljena korisnička imena i lozinke, | ||
| - | * uzima vjerodajnice iz Credential Managera (mjesta gdje Windows može čuvati spremljene prijave), | + | * |
| * **krade ili kopira access tokene iz drugih procesa**, kako bi se mogao **predstavljati kao drugi korisnik** (npr. administrator) i dobiti pristup bez ponovnog upisivanja lozinke. | * **krade ili kopira access tokene iz drugih procesa**, kako bi se mogao **predstavljati kao drugi korisnik** (npr. administrator) i dobiti pristup bez ponovnog upisivanja lozinke. | ||
| Redak 179: | Redak 177: | ||
| [3] | [3] | ||
| - | Osim toga, mijenja i kôd na početku diska, u **MBR-u** (Master Boot Record). MBR se izvršava prije pokretanja operacijskog sustava, a napad NotPetya ga prepravlja tako da se pri sljedećem paljenju računala pokrene njegov kôd, koji zatim šifrira ključne strukture datotečnog sustava (MFT – Master File Table) i prikaže ucjenjivačku poruku. Zbog toga korisnici često primijete da se **računalo ubrzo nakon zaraze samo ponovno pokrene, a nakon restarta ih dočeka zaslon prikazan na //slici 6// na kojemu piše da je sustav u procesu „popravka diska”**, ali se u pozadini zapravo odvija šifriranje podataka. Kad postupak završi, pojavljuje se **ucjenjivačka poruka** prikazana na //slici 7//. Ovakav pristup (izmjena MBR-a i „zaključavanje” diska) neuobičajen je, ali nije potpuno nov — slična tehnika viđena | + | Osim toga, mijenja i kôd na početku diska, u **MBR-u** (Master Boot Record). MBR se izvršava prije pokretanja operacijskog sustava, a napad NotPetya ga prepravlja tako da se pri sljedećem paljenju računala pokrene njegov kôd, koji zatim šifrira ključne strukture datotečnog sustava (MFT – Master File Table) i prikaže ucjenjivačku poruku. Zbog toga korisnici često primijete da se **računalo ubrzo nakon zaraze samo ponovno pokrene**, a nakon restarta ih dočeka zaslon prikazan na //slici 6// na kojemu piše da je **sustav u procesu „popravka diska”**, ali se u pozadini zapravo odvija šifriranje podataka. Kad postupak završi, pojavljuje se **ucjenjivačka poruka** prikazana na //slici 7//. Ovakav pristup (izmjena MBR-a i „zaključavanje” diska) neuobičajen je, ali nije potpuno nov jer je slična tehnika viđena i kod ransomwarea Petya. |
| {{ : | {{ : | ||
| Redak 193: | Redak 191: | ||
| ===== Zaštita ===== | ===== Zaštita ===== | ||
| - | Napad NotPetya kombinira brzo širenje mrežom i destruktivno djelovanje, pa zaštita uključuje mjere za sprječavanje zaraze i ograničavanje širenja. | ||
| ==== Prevencija zaraze ==== | ==== Prevencija zaraze ==== | ||
| Redak 227: | Redak 224: | ||
| - | ===== Zaključak ===== | + | |
| ===== Zaključak ===== | ===== Zaključak ===== | ||