Z różnych części Europy dochodzą informacje o awariach systemu i infekcjach dokonanych przez ransomware o nazwie NotPetya. Także z Polski.
Aktualizacja [29.06.2017]: Wczoraj pisaliśmy, że nie warto płacić okupu, ponieważ cyberprzestępcy utracili dostęp do swojego konta, więc nie otrzymają przesłanych pieniędzy i nie odblokują naszych plików. Z analizy Kaspersky Lab wynika jednak, że nigdy o odblokowywaniu nie było mowy, bo NotPetya nie jest do końca oprogramowaniem typu ransomware.
Owszem, NotPetya żąda okupu, ale cyberprzetępcy technicznie nie są w stanie odblokować dostępu do plików po otrzymaniu pieniędzy, ponieważ nie ma konkretnego numeru identyfikacyjnego. Zatem podkreślmy raz jeszcze dwie kwestie: 1) nie należy płacić okupu (bo to nic nie da), 2) pliki na zainfekowanych komputerach są już właściwie nie do odzyskania.
Co to wszystko jednak tak naprawdę oznacza? Przede wszystkim to, że atak z wykorzystaniem NotPetya nie miał na celu uzyskania jak największej sumy pieniędzy. Cyberprzestępcom chodziło raczej o sparaliżowanie firm (biorąc pod uwagę efekty – głównie tych działających na terenie Ukrainy). Sprawcy wciąż nie są znani.
News oryginalny [28.06.2017]: WannaCry to wciąż aktualne zagrożenie, ale przynajmniej na moment musi odejść w cień. Firmy na całym świecie stają bowiem w obliczu nowego złośliwego oprogramowania – NotPetya. Rozprzestrzeniający się na całą Europę cyberatak nie ominął także Polski – ba, nasze firmy znajdują się w czołówce najbardziej dotkniętych.
Zaczęło się na Ukrainie, objęło sporą część Europy
Zaczęło się wczoraj, od licznych zgłoszeń z Ukrainy. Tamtejszy parlament, firmy energetyczne, prywatne i państwowe banki, lotniska oraz kijowskie metro padły ofiarą cyberprzestępczego ataku, w wyniku którego ich komputery zostały zablokowane przez NotPetya – nowe ransomware, czyli złośliwe oprogramowanie żądające wpłacenia okupu w zamian za odblokowanie zaszyfrowanych plików. Później zagrożenie zaczęło się rozprzestrzeniać.
W kolejnych godzinach docierały kolejne informacje o awarii systemów – z Danii (gdzie zaatakowane zostały komputery przedsiębiorstwa transportowo-energetycznego Maersk), z Wielkiej Brytanii (agencja reklamowa WPP), z Rosji (bank Home Credit), a dalej posypały się wieści z Włoch, Niemiec i wreszcie Polski, która po Ukrainie i Rosji liczy najwięcej ofiar.
Docierają też informacje o awariach spoza Europy, ale stanowią one niewielki odsetek.
To nie Petya, lecz ExPetr (lub: NotPetya)
Początkowo uważano, że pliki na komputerach szyfruje ransomware Petya, ale z analizy Kaspersky Lab wynikło, że jest to zupełnie nowe złośliwe oprogramowanie, które zostało nazwane ExPetr, ale ze względu na wcześniejsze domysły w sieci utrwaliło się po prostu jako NotPetya. Wiemy też, że po infekcji pojawia się żądanie wpłacenia około 300 dolarów w bitcoinach.
Jak przebiega infekcja NotPetya?
Z informacji przekazanych przez Departament Cyberpolicji Narodowej Policji Ukrainy wynika, że NotPetya mogła trafić na ukraińskie komputery w wyniku aktualizacji popularnego programu do zarządzania i wymiany dokumentów M.E.Doc. Miała ona powodować tworzenie pliku rundll32.exe, który analizował sieć i sprawdzał, czy jest możliwość przeprowadzenia ataku (czyli czy porty 139 i 445, wykorzystywane wcześniej przez WannaCry, są podatne). Jeśli odpowiedź brzmiała „tak”, dokonywano infekcji.
Autorzy programu M.E.Doc twierdzą jednak, że aktualizacja programu nie mogła być źródłem ataku. Sami przyznają też, że również oni padli ofiarą NotPetya. Sprawa nie jest więc jak dotąd zupełnie jasna.
NotPetya groźniejsze niż WannaCry
Nowe ransomware wykorzystuje tę samą podatność, co WannaCry. Nie kończy jednak na tym. Dodatkowo próbuje wykraść informacje logowania z każdego komputera, który infekuje, by móc rozprzestrzeniać się w lokalnej sieci, udając uprawnionego użytkownika.
Polska premier zwołuje naradę Rządowego Zespołu Zarządzania Kryzysowego
Mniej więcej co dwudziesty zainfekowany komputer znajduje się na terenie Polski, a i skutki wcześniejszego ataku (WannaCry) odczuły polskie przedsiębiorstwa. Zupełnie niedaleko nas, bo na Ukrainie, oprogramowanie NotPetya doprowadziło zaś do paraliżu. To właśnie dlatego premier Beata Szydło zdecydowała się na zwołanie narady Rządowego Zespołu Zarządzania Kryzysowego, która odbędzie się dzisiaj, o godzinie 11.00.
Aktualizacja [godz. 15.00]: Przedstawiamy kilka nowych faktów:
- Potwierdzono, że cyberprzestępcy utracili dostęp do konta, co oznacza, że nawet wpłacenie okupu nie spowoduje odzyskania dostępu do plików. Właściwie to już przepadły.
- Zakończyło się posiedzenie Rządowego Zespołu Zarządzania Kryzysowego. Premier Beata Szydło poinformowała, że „po analizie sytuacji i przedstawieniu informacji przez służby oraz odpowiedzialnych ministrów nie zdecydowaliśmy się na podjęcie decyzji o podwyższeniu stopnia alarmowego”.
- Wśród polskich firm, które padły ofiarą NotPetya znajdują się Raben, InterCars, TNT, Kronospan i Mondelsz (informacja: Niebezpiecznik.pl).
- Zaatakowane zostały także komputery elektrowni w Czarnobylu. System monitorowania promieniowania został zdezaktywowany, ale władze zapewniają, że nie ma żadnego zagrożenia.
- Sprawą cyberataku zajmują się obecnie organy ścigania.
Co robić? Jak żyć?
Oto kilka podstawowych wskazówek:
- Utwórz plik „C:\Windows\perfc” (skuteczność niepotwierdzona)
- W momencie uruchomienia się programu CHKDSK jak najszybciej wyłączc komputer
- Nie płać okupu (niemieccy badacze odcięli cyberprzestępców od skrzynki)
Oraz uniwersalne:
- Aktualizuj system operacyjny i oprogramowanie antywirusowe
- Twórz kopie zapasowe
- Więcej na ten temat w newsie 2017 rokiem ransomware - jak się chronić?
Źródło: Quartz, The Verge, Niebezpiecznik. Foto: HypnoArt/Pixabay (CC0)
Komentarze
15Nie 300 btc a 300$ w btc.
139
445
1900
8200
Wystarczy aby firewall na PC miał je zamknięte ?