Wtorek 27 czerwca to dzień, w którym nastąpił drugi globalny atak ransomware. Poprzedni spowodowany był wirusem WannaCry. Ten wczorajszy wirusem Petya. Oba wirusy wykorzystują tę samą technikę ataku z wykorzystaniem EternalBlue, narzędzia które wykorzystuje luki w zabezpieczeniach systemu Windows a które wyciekło w zeszłym roku z NSA.

Przed Petya można łatwo się zabezpieczyć. Analiza kodu wykazała, że wirus sprawdza w systemie istnienie pliku „C:\windows\perfc” i jeśli go znajdzie kończy działanie. Zatem wystarczy taki plik stworzyć i można czuć się bezpiecznie.

Pierwsze sygnały o ataku pochodziły z Ukrainy, następnie z Rosji, Danii, UK i USA. Zaatakowane systemy to banki, szpitale, firmy energetyczne i co najmniej jeden szpital. Niestety Petya jest bardzo niebezpiecznym wirusem. W odróżnieniu od WannaCry, który szyfrował wybrane pliki użytkownika Petya szyfruje całe dyski powodując, że systemy komputerowe stają się bezużyteczne.

Wirus wyświetla komunikat z żądaniem okupu. Niestety nie ma szansy na uzyskanie kluczy deszyfrujących od autorów, gdyż konto mailowe, na które należało wysłać potwierdzenie zapłaty okupu zostało zablokowane przez providera. Firma oświadczyła, że nie pozwoli na takie korzystanie ze swoich zasobów. Inna sprawa, że prawdopodobnie i tak takie klucze nie zostałyby przesłane. Tak przynajmniej wykazuje historia ataków ransomware. Przed zapłaceniem okupu warto też przeczytać ten tekst z CNET, który to szczegółowo wyjaśnia.

Petya rozprzestrzenia się inaczej  niż WanaCry. Po zainfekowaniu komputera odszukuje hasła administracyjne i próbuje zalogować się do komputerów, które znajdzie w sieci lokalnej. W sieciach firmowych często używa się jednego hasła administracyjnego do wielu komputerów co oznacza, że w ten sposób wirus może rozprzestrzenić się łatwo na inne maszyny. Nawet na te, które zostały zaktualizowane i są odporne na ataki EternalBlue. Zatem wystarczy jedna maszyna, która nie została zaktualizowana aby stracić cały system.

Ta nowa metoda ataku jest o tyle skuteczna, że w dużych sieciach a zwłaszcza w miejscach o newralgicznym znaczeniu stać mogą komputery, które nie zostały zaktualizowane. Powodem mogła być albo obawa, że po aktualizacji istotne oprogramowanie może przestać poprawnie działać albo brak możliwości przerwania działania systemu na czas aktualizacji.

Dla użytkowników komputerów w domach lub małych sieciach firmowych najlepszą opcją jest zaktualizowanie systemów i programów antywirusowych. Część z nich już wykrywa nowe zagrożenie pozostałe zapewne wkrótce dołączą.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *