- 28.6. 8:38 – aktualizováno o informace, že není možné zaplatit výkupné a o „vakcíně“ proti nákaze
Letiště v ukrajinském Kyjevě, ruská ocelárna Evraz nebo státní ropná firma Rosněfť, britská reklamní společnost WPP, francouzský výrobce stavebnin Saint Gobain, dánská spediční firma Moller-Maersk či americký výrobce léčiv Merck.
Nejnovější vlna ransomwarového útoku, která se šíří světem, zasáhla počítače řady různých firem, informuje například agentura Reuters nebo britská BBC. Nejvíce napadených firem je podle prvních informací na Ukrajině a v Rusku, malware se ale rychle šíří světem.
Mimo provoz je i web elektrárny v Černobylu, informuje magazín Forbes. Kvůli útoku a nutnosti vypnout všechny počítače s Windows nefunguje ani část automatického systému pro sledování úrovně záření v průmyslové části zóny a pracovníci tam provádějí měření ručně. Monitorování v uzavřené zóně funguje bez problémů.
Scénář útoku je podobný jako v případě nedávné vlny ransomwaru WannaCry: malware zašifruje uživatelům jejich data a za jejich odemknutí požaduje výkupné v bitcoinech.
AKTUALIZACE 28.6. 8:36 – Oběti ransomwaru už nemohou výkupné zaplatit, ani kdyby chtěly. Německý provozovatel freemailových služeb Proteo totiž zablokoval e-mailovou schránku, na kterou měli napadení po zaplacení poslat identifikaci platby. Ransomware používá pro potvrzení plateb právě tuto neobvyklou metodu.
Server Bleepingcomputer přinesl zprávu, že současný malware v sobě obsahuje možnost, jak svůj počítač před nákazou ochránit. Nejde o „lék“, který by pomohl odbklokovat už nakažený počítač, ale spíš o „vakcínu“, která podle zpráv bezpečnostních expertů chrání zařízení před nákazou. Jako první s ní přišel Američan Amit Serper:
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27. června 2017
„Vakcinace“ spočívá ve vytvoření prázdného souboru se specifickým jménem v adresáři C:\Windows. Podle zjištění expertů Petya po infikování počítače hledá právě tento soubor a pokud jej na disku najde, nezašifruje data. Serperovo zjištění později potvrdilo několik dalších expertů.
Jak se šíří
„Šíří se jak pomocí SMB protokolu, tak pomocí příloh v emailu, kde využívá zranitelností kancelářského balíku Microsoft Office. V případě nákazy ransomware zašifruje master boot record (MBR), vyvolá restart počítače a zašifruje hlavní tabulku souborů (MFT), čímž znemožní opětovné nabootování a přístup k souborům,“ popisuje útok CSIRT.CZ.
„Škodlivému kódu stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů,“ podotýká také analytik Esetu Robert Lipovský.
Bezpečnostní experti současnou vlnu připisují ransomwaru Petya, respektive jeho modifikované verzi. „Modifikace ransomwaru Petya se pravděpodobně šíří tak, že využívá stejnou zranitelnost EternalBlue, kterou zneužíval i nedávný útok ransomwaru WannaCry. To znamená, že majitelé tisícovek počítačů po celém světě stále ještě nezáplatovali své operační systémy. Všem uživatelům systému Windows doporučujeme, aby opravdu co nejdříve aktualizovali svůj systém a nainstalovali všechny nové záplaty,“ říká bezpečnostní expert firmy Avast Jakub Křoustek.