27. 6. 2017 (aktualizováno 28. 6. 2017)

Ransomware Petya/Petrwrap/NotPetya se začal šířit během úterý po hackerském útoku na ukrajinskou softwarovou společnost M.E.Doc. Útočníci napadli účetní software, který tato společnost vydává. Automatická aktualizace tohoto software způsobila, že počítače uživatelů byly infikovány. Malware tak velmi rychle infikoval velké množství počítačů zejména na Ukrajině, dále v Rusku, Francii, Dánsku, ve Španělsku a několika dalších státech. Podle mnoha zdrojů se jedná o novou variantu ransomwaru Petya, o jehož původní verzi jsme psali již v březnu 2016 zde. Tato nová verze ransomwaru je asociována s emailovým účtem wowsmith123456@posteo.net, který je však již po zásahu provozovatele zablokován. Útočníci požadovali výkupné v hodnotě 300 USD ve virtuální měně Bitcoin, a podle posledních informací některé oběti ransomwaru tuto částku zaplatili ještě dne 28. 6. v dopoledních hodinách, kdy již bylo jasné, že se nelze s útočníky skrze zveřejněný kontakt spojit.

Postup šíření

Po infekci se malware snaží získat přihlašovací údaje doménového administrátora a šířit v lokální síti. K šíření využívá několik metod:

  • nástroje PSEXEC a WMIC k šíření s využitím sdílení disků,
  • exploity EternalBlue a EternalRomance, které cílí na zranitelnosti v protokolu SMB na systémech Windows, podobně jako ransomware WannaCry (EternalBlue)
    Oba exploity byly součástí uniklých dat z americké NSA. Tyto zranitelnosti byly opraveny společností Microsoft již během března pomocí bezpečnostního balíčku MS17-10, nicméně počítače, u kterých nebyla provedena tato aktualizace, jsou a budou nadále zranitelné.

Informace o šíření ransomwaru skrze phishingové e-maily nejsou dosud potvrzené a pravděpodobně souvisí s jinou kampaní.

U napadených zařízení dojde k přepsání MBR (Master Boot Record) pevného disku a/nebo zašifrování souborů vybraných typů. V případě, že se uživatel pokusí restartovat systém, modifikovaný MBR zabrání spuštění systému, namísto toho se objeví na obrazovce ultimátum s návodem na další postup. Informace o šifrování jednotlivých souborů dosud nejsou jednoznačně potvrzeny.

Update: Podle vyjádření Kaspersky Lab se jedná o zcela nový ransomware, který nazvali NotPetya.

Situaci v ČR sledujeme, další informace budou doplněny v nejbližší době.

POSTIŽENÉ SYSTÉMY

Počítače s OS Microsoft Windows.

ŘEŠENÍ

Uživatelům se doporučuje kromě kontinuální aktualizace operačního systému, antivirových ochran a zabezpečení dbát zvýšené obezřetnosti při práci s nevyžádanými e-maily a neznámými soubory. Různé antivirové společnosti nabízí řadu řešení, které dokáží detekovat infikované soubory ještě před jejich spuštěním, případně blokovat IP adresy, které distribuují škodlivý obsah. Žádná ochrana však není stoprocentní a tak nejúčinnějším řešením je ZÁLOHOVÁNÍ. V případě detekce incidentu nás prosím kontaktujte na cert.incident@nbu.cz.

ODKAZY

https://www.csirt.cz/page/3577/ransomware-petya-doplnujici-informace/
https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
https://www.novinky.cz/zahranicni/evropa/442021-pocitacovy-virus-zasahl-svetove-firmy-a-snazi-se-je-vyradit-z-provozu.html

http://thehackernews.com/2017/06/petya-ransomware-attack.html
http://www.independent.co.uk/news/world/europe/ukraine-cyber-attack-hackers-national-bank-state-power-company-airport-rozenko-pavlo-cabinet-a7810471.html
http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/