Na celom svete opäť útočil vydieračský program , páchateľ je zatiaľ neznámy

Nový nebezpečný škodlivý softvér ohrozuje najmä veľké organizácie a firmy. Na svoje šírenie používa viacero zraniteľností alebo chýb. Nechýba medzi nimi ani Eternal Blue.

Na utorok 27. júna nebudú na Ukrajine spomínať v dobrom. Práve vtedy sa totiž objavili prvé prípady zašifrovaných počítačov a stratených dát. Zasiahnuté boli banky, letisko, elektrárne, ale aj vládne systémy. Neskôr v ten deň hlásili podobné problémy aj ruské naftárske firmy a viacero európskych spoločností. Vinníkom bol vo všetkých prípadoch staronový kus škodlivého kódu pre ktorý sa zatiaľ vžilo označenie not-petya (Nyetya).

Analýzy viacerých bezpečnostných firiem tvrdia, že okrem známych zraniteľností Eternal Blue a Eternal Romance sa malvér spočiatku pravdepodobne šíril cez aktualizáciu ukrajinského ekonomického softvéru MeDoc. Vo svojich správach to tvrdí Kaspersky, Microsoft a aj Talos. Vysvetľovalo by to, prečo bola Ukrajina prvá a aj to, prečo bola zasiahnutá najviac. Ukrajinská firma to však popiera.

Na šírenie medzi počítačmi v rámci jednej (podnikovej) siete potom ransomvér zneužíva WMICPSEXEC, čo sú legitímne nástroje od Microsoftu slúžiace na vzdialenú správu. Ako podotýka Kaspersky, nebezpečenstvo ransomvéru spočíva v tom, že stačí jediný infikovaný počítač, ktorý má administrátorské práva a automaticky je schopný pomocou nástrojov od microsoftu infikovať všetky ostatné v rámci siete. A to aj s operačným systémom Windows 7 či 10, ktoré inak sú proti Eternal Blue a Romance imúnne.

Po infikovaní sa môžu stať dve veci. Ak program získa potrebné práva, tak nešifruje jednotlivé súbory, ale celý disk spolu so zavádzacím „bootovacím“ záznamom: MBR (MFT). Ak potrebné práva nemá, tak šifruje jednotlivé súbory. Nerobí to však na pozadí. Namiesto toho hneď resetne počítač a zobrazí falošnú obrazovku, ktorá sa tvári ako checkdisk.

Po skončení celého procesu zobrazí ďalšiu, kde už informuje o tom, že dáta sú zašifrované a žiada poslať bitcoiny v hodnote 300 dolárov na anonymnú bitcoinovú peňaženku. Zobrazí aj emailovú adresu, kam treba poslať potvrdenie o zaplatení a unikátny kód (ten je tiež zobrazený na rovnakej obrazovke). Dnes (28. júna) však nemá zmysel bitcoiny posielať, pretože poskytovateľ emailu zablokoval schránku, na ktorú mali obete vydieračovi písať. Spolu s celkovou robustnosťou šifrovania to znamená, že je takmer nemožné dáta na už zašifrovanom počítači zachrániť.

Podľa niektorých výskumníkov sa však v tomto ransomvéri nachádza takzvaný killswitch, ktorý zabráni jeho činnosti. Ten by mal spočívať vo vytvorení súboru perfc bez koncovky a jeho umiestnení v zložke windows. Túto informáciu však nepotvrdili žiadne veľké antivírové spoločnosti.

Ďalšou dobrou radou je, pokiaľ už dôjde k infekcii a zobrazí sa falošná obrazovka, okamžite vypnúť počítač (vytiahnuť ho zo zásuvky) a už ho nezapínať. Malo by byť potom možné dáta zachrániť pomocou napríklad live usb linuxovej distribúcie (systém sa spustí z usb klúča, nie z infikovaného disku).

Tvorca ransomvéru je zatiaľ neznámy. Hoci by Ukrajina ako prvý cieľ mohla ukazovať na ruských hackerov, nezdá sa to byť veľmi pravdepodobné. Napadnuté totiž boli aj ruské ropné spoločnosti. To, že sú terčom sú veľké korporácie, ukazuje skôr na snahu o finančný zisk.

(JF)