Petya atakuje komputery na całym świecie

poprzednie następne

Od kilkudziesięciu godzin na świecie trwa potężny atak hakerki z wykorzystaniem zmodyfikowanego ransomware Petya. Złośliwe oprogramowanie wykorzystuje dziurę załataną przez aktualizację MS17-010, tę samą z której korzysta WannaCry, a dodatkowo używa też luki CVE-2017-0199 powiązanej z pakietem Office. Ponieważ oprócz luki NSA EternalBlue wykorzystywane są też mechanizmy WMIC oraz PSEXEC możliwe było zaatakowanie komputerów odpornych na WannaCry. W celu uzyskania dostępu do innych komputerów w sieci z wyłączonym protokołem Samba, algorytm wykorzystuje WebDAV i LSADump.

Co ciekawe od chwili infekcji do momentu zaszyfrowania pierwszych plików upływa 30-40 minut, co daje czas na przeciwdziałanie. Petya atakuje też tylko dysk systemowy, a inne nośniki, w tym zewnętrzne dyski, nie są szyfrowane

Zaatakowane komputery odmawiają posłuszeństwa a po ich restarcie uruchamia się funkcja checkdisk. Po zakończeniu skanowania dysku, użytkownika wita ekran z rządzeniem okupu w kwocie wyrażonej w kryptowalucie. Płacić nie ma sensu, bo skrzynka cyberprzestępców została zablokowana. Najlepszą formą obrony jest natychmiastowe wyłączenie komputera po uruchomieniu checkdisk.

Źródłem ataku był spreparowany plik aktualizacji oprogramowania M.E.doc, a oryginalnym celem ataku były ukraińskie przedsiębiorstwa państwowe oraz prywatne firmy. Ostatecznie jednak zainfekowane zostały komputery w 64 państwach świata, w tym w USA, krajach UE i Rosji.