Jak działa wirus Petya (NotPetya) i dlaczego atakuje komputery również w Polsce?

Daniel Maikowski
Instytucje państwowe, firmy logistyczne, banki, firmy energetyczne - ransomware Petya zbiera coraz większe żniwo. Pierwotnym celem ataku była Ukraina. Dlaczego wirus przedostał się do Polski i innych krajów?

Petya to wirus typu ransomware. Oprogramowanie szyfruje pliki na komputerze ofiary, a następnie żąda 300 dolarów okupu w kryptowalucie bitcoin. Proces szyfrowania danych wygląda podobnie, jak w przypadku innych ransomware - np. słynnego WannaCry.

Po zainfekowaniu komputera wirus wywołuje awarię systemu Windows (tzw. Blue Screen Of Death), co prowadzi do ponownego uruchomienia komputera. Wówczas uruchamia się proces szyfrowania plików, choć użytkownik jest przekonany, że to standardowy windowsowy mechanizm sprawdzania dysków pod kątem błędów.

Użytkownik może wciąż przerwać ten proces, wyłączając komputer, co w konsekwencji uchroni go przed utratą plików. Jeśli jednak tego nie zrobi, a narzędzie zakończy swoją pracę, to jest już zdecydowanie za późno - dane zostaną zaszyfrowane.

 

Groźniejszy od WannaCry

Sam mechanizm szyfrowania plików nie jest wyjątkowy. To co wyróżnia tego wirusa na tle innych zagrożeń, to skala i tempo rozprzestrzeniania się, jak również fakt, że Petya może infekować również komputery z Windowsem 10 - i to nawet te, które posiadają najnowsze aktualizacje systemowe.

Michał Jarski, ekspert ds. cyberbezpieczeństwa oraz VP EMEAA w firmie Wheel Systems zwraca uwagę, że Petya rozprzestrzenia się na dwa sposoby:

a) wewnątrz danej sieci - wykorzystując do tego narzędzia sieciowe Windows

b) globalnie - poprzez rozsyłanie zainfekowanych maili (phishing)

Wszystko wskazuje na to, że pierwotnym źródłem ataku była aplikacja M.E.Doc, bardzo popularne na Ukrainie narzędzie do zarządzania dokumentacją. Z programu korzysta wiele ukraińskich instytucji rządowych tego kraju, jak również firmy komercyjne.

Prawdopodobnie hakerzy zdobyli dostęp do serwerów M.E.Doc, a następnie wypuścili zainfekowaną aktualizację aplikacji, która została automatycznie zainstalowana.

W jaki sposób wirus wydostał się poza Ukrainę? Zainfekowane komputery wysyłały złośliwe załączniki poprzez pocztę elektroniczną do wszystkich kontaktów znajdujących się w ich systemie. Instytucje państwowe często korespondują z ukraińskimi oraz międzynarodowymi firmami, co pozwoliło Petyi rozprzestrzenić się na cały świat.

Czy mój komputer jest zagrożony?

Jeśli korzystasz z domowej wersji Windowsa, to prawdopodobnie jesteś bezpieczny. Warto jednak podkreślić słowo "prawdopodobnie" - bo nie znamy jeszcze wszystkich szczegółów dotyczących tego ataku.

Wiemy natomiast, że Petya skupia się przede wszystkim na sieciach i komputerach firmowych. Dlaczego korporacyjne wersje Windows są bardziej narażone na tak? Wynika to z faktu, że komputery firmowe są często podpięte pod tzw. domenę Active Directory, co sprawia, że bezgranicznie "ufają" firmowym serwerom, nawet jeśli te ostatnie zostały zainfekowane przez ransomware.

Problem z Petyą polega również na tym, że wirus nie szyfruje natychmiast komputera ofiary. Wcześniej szuka sposobu na to, aby zainfekować inne urządzenia.

Wystarczy, że ktoś przyniesie do firmy zainfekowany komputer. Taki komputer, po podłączeniu do sieci, natychmiast będzie szukać sposobu, aby jak najszybciej rozprzestrzenić się w sieci

- podkreśla Michał Jarski.

Jak ochronić się przed atakiem?

Okazuje się, że istnieje prosty sposób, aby uniemożliwić Petyi zainfekowanie naszego komputera. Wystarczy, że w folderze C:\\Windows utworzymy plik o nazwie "perfc" (bez żadnego rozszerzenia) i ustawimy go "tylko do odczytu". Właśnie taką nazwę ma plik, który na zainfekowanej maszynie próbuje utworzyć Petya. Wirus nie jest w stanie odpowiednio zareagować na sytuację, w której "perfc" już w systemie istnieje. Wówczas skuteczny atak jest niemożliwy.

Niestety z najnowszych doniesień wynika, że w sieci pojawiły się już dystrybucje Petyi, które potrafią poradzić sobie z takim "zabezpieczeniem".

Więcej o:
Komentarze (5)
Jak działa wirus Petya (NotPetya) i dlaczego atakuje komputery również w Polsce?
Zaloguj się
  • leroy_brown

    Oceniono 39 razy 5

    Nie ma obaw, jesteśmy bezpieczni.
    Minister Gowin o wszystkim pomyślał i obsadził w NASKu Staszka Derehajło, pszczelarza i rolnika, wójta w gminie Boćki, jako eksperta od właśnie takich spraw.

  • mariohudds

    Oceniono 1 raz 1

    Do internetu i poczty polecam chromebooka.

  • Marek Jurków

    0

    A ja mam linuxa i sram na ten problem, ktoś chciał Windowsa niech teraz sra w gadzie :D

  • kaczyzmowi_stop

    Oceniono 21 razy -1

    Skoro wirusy rozprzestrzeniają się z pocztą, wystarczy zamknąć poczty, albo postawić sikurity, securitate czy jakiś innych ochroniarzy przy drzwiach. Żaden wirus nie wejdzie na pocztę.

Aby ocenić zaloguj się lub zarejestrujX