Od wczoraj spływają doniesienia o kolejnym ogromnym ataku ransomware. Szkodnik działa na ogromną skalę w Europie. Już teraz zainfekowano wiele polskich firm, choć najbardziej ucierpiała Ukraina.
U naszych wschodnich sąsiadów sparaliżowane zostały między innymi najważniejsze lotniska w kraju. Petya, bo tak nazywa się wirus, zainfekował też systemy w zamkniętej elektrowni atomowej w Czarnobylu, systemy bankowe, ciepłownie, sieci supermarketów, a nawet metro w Kijowie.
W Polsce z problemami zmaga się między innymi InterCars i Raben. Wiele mniejszych firm usługowych także zostało zainfekowanych. Z wirusem walczy TNT, Kronospan i Mondelez.
Tak wygląda komputer po zaszyfrowaniu plikówSzkodnik rozprzestrzenia się także w Europie Zachodniej. Duńska firma transportowa Maersk poinformowała o kłopotach z systemem, a w Wielkiej Brytanii rykoszetem dostała agencja reklamowa. Są też doniesienia o infekcjach w Hiszpanii, Holandii, Rosji i Stanach Zjednoczonych.
Petya zaraża nawet takie urządzenia, jak bankomaty czy drukarki. W każdym przypadku szkodnik blokuje dostęp do plików i żąda 300 dolarów płatnych w bitcoinach w zamian za ich odszyfrowanie.
Nie płać okupu
Odzyskanie plików w przypadku ransomware jest niezwykle trudne. Dlatego też specjaliści zazwyczaj sugerują, by mimo wszystko zapłacić okup i liczyć na łaskę cyberprzestępców. W ten sposób można uratować np. ważne pliki firmowe.
W przypadku wirusa Petya kategorycznie odradza się jednak płacenie okupu. Adres mailowy podany w wiadomości, która wyświetla się po zaszyfrowaniu, został bowiem zablokowany przez dostawcę poczty. Nawet jeżeli uiścimy opłatę, nie skontaktujemy się z atakującymi w celu uzyskania klucza deszyfrującego.
Jeden z ukraińskich supermarketówObecnie na zapłacenie zdecydowało się zaledwie 36 podmiotów. Oszuści zgromadzili w swoim portfelu bitcoin 3,63 BTC, czyli około 33,5 tys. złotych. Niewiele, zważając na skalę ataku.
Zagrożone zaktualizowane Windowsy
Specjaliści od zabezpieczeń podają, że zagrożone są przede wszystkim urządzenia napędzane przez system Windows. Petya rzekomo wykorzystuje tę samą podatność, co WannaCry, a także atak na dziurę CVE-2017-0199.
Co ciekawe, atakowane są także zaktualizowane systemy, łącznie z Windows 10. Jest to możliwe dzięki wykorzystaniu mechanizmów WMIC i PSEXEC.
Nie działają też bankomatyUkraińskie władze podają, że infekcja rozpoczęła się od podmiany aktualizacji popularnego oprogramowania M.E.doc. Następnie wirus rozprzestrzeniał się dzięki podatnościom na WannaCry.
Obserwatorzy wskazują również, że atak na polskie firmy może być efektem ubocznym infekcji ukraińskich przedsiębiorstw. Część podmiotów posiada bowiem oddziały za wschodnią granicą, dzięki czemu robak przedostał się do Polski.
Jak się uchronić?
Obecnie nie ma jednej skutecznej metody obrony przez wirusem. Niektórzy badacze wskazują, że stworzenie pliku C:Windowsperfc powstrzyma działanie szkodnika.
#StopPetya We have found local “kill switch” for #Petya: create file „C:Windowsperfc” pic.twitter.com/zlwB8Zimhv
— PT Security (@PTsecurity_UK) 27 czerwca 2017
Nie wszyscy się z tym zgadzają, jednak stworzenie takiego pliku nic nas nie kosztuje, a może uchronić nasze dane.
W przypadku, gdy system samoczynnie się zrestartuje i wyświetli ramkę CHKDSK (komunikat zaprezentowany poniżej), należy niezwłocznie wyłączyć komputer. Właśnie wtedy rozpoczyna się szyfrowanie plików. Do tego czasu nasze dane są bezpieczne.
If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6
— Hacker Fantastic (@hackerfantastic) 27 czerwca 2017
Pomocne może też być zaktualizowanie systemu do najnowszej wersji oraz skorzystanie z oprogramowania anti-ransomware (np. Malwarebytes Anti-Ransomware). Warto również zamknąć wszystkie porty SMB oraz ograniczyć uprawnienia poszczególnych użytkowników systemu, anulując im uprawnienia administratora.
Warto dodać, że w związku z cyberatakiem premier rządu Beata Szydło zwołała naradę Rządowego Zespołu Zarządzania Kryzysowego. Odbędzie się ona dzisiaj o godzinie 11:00.
Zobacz: Jak ochronić się przed wirusem Petya
Źródło: Niebezpiecznik, Malwarebytes