r   e   k   l   a   m   a
r   e   k   l   a   m   a

Petya atakuje. Globalny atak ransomware na miarę WannaCry? (aktualizacja)

Strona główna AktualnościBEZPIECZEŃSTWO

Aktualizacja, 00:15

Rzecznik prasowy rządu, Rafał Bochenek, poinformował na Twitterze, że w rezultacie ataku premier Beata Szydło zwołała naradę Rządowego Zespołu Zarządzania Kryzysowego. Spotkanie odbędzie się jutro o godzinie 11:00.

Aktualizacja, 22:05

Pojawiły się pierwsze informacje na temat ewentualnego wektora ataku. Departament Cyberpolicji Narodowej Policji Ukrainy w opublikowanym na Facebooku komunikacie wskazuje na M.E.Doc, popularny na Ukrainie program do zarządzania dokumentacją. Co ważne, używany także w wymianie dokumentów z instytucjami rządowymi.

Według ukraińskiej policji, dziś o 10:30 M.E.Doc automatycznie pobrał aktualizację. Tworzy ona plik rundll32.exe, a następnie analizuje sieć za pośrednictwem portów 139 i 445, tych samych które wykorzystuje protokół SMBv1 – to właśnie jego podatność była wektorem WannaCry/ETERNALBLUE.

Następnie uruchamiane było cmd.exe, , gdzie wykonywane są dwa polecenia:
c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR  oraz C:\Windows\system32\shutdown.exe /r /f" /ST 14:35. Po zaplanowaniu wyłączenia tworzony był plik ac3.tmp oraz dllhost.dat.

Tak prezentują się ustalenia ukraińskiej policji, pojawiło się już także stanowisko M.E.Doc. Warto zwrócić uwagę, że dna stronie programu opublikowano dziś informację, że zaatakowane zostały serwery producenta. Przez niektóre media jest ona mylnie interpretowana jako potwierdzenie, że wówczas podmieniono pliki, tymczasem pierwszy komunikat sugeruje jedynie, że infrastruktura M.E.Doc mogła być jedną z pierwszych ofiar

Przed godziną producent M.E.Doc opublikował kolejny komunikat, w którym zdecydowanie zaprzecza, że źródłem ataku jest aktualizacja programu oraz potwierdza, że jest jedną z ofiar.

Aktualizacja, 21:30

Analitycy Kaspersky Lab dzielą się kolejnymi informacjami na temat ataku. Opublikowany został już wykres, na którym znalazły się państwa z jak dotąd największą liczbą infekcji. Nie zostały udostępnione bezwzględne wartości, a jedynie procent infekcji w danym kraju z liczby wszystkich odnotowanych dotąd ataków.

Niestety, Polska znajduje się w ścisłej czołówce. Nad Wisłą znajduje się około 5% wszystkich zainfekowanych dotąd maszyn. Więcej ulokowanych jest w jedynie w Rosji (nieco ponad 30%) oraz przede wszystkim na Ukrainie, gdzie znajduje się aż 60% zainfekowanych komputerów.

r   e   k   l   a   m   a

Aktualizacja, 19:20

Wynikami pierwszych, wstępnych analiz nowego zagrożenia podzielili się analitycy Kaspersky Lab. Według nich, mamy do czynienia z nową odmianą ransomoware, a nie znaną od roku Petyą:

Wstępne wyniki badania wskazują, że za atakami nie stoi odmiana szkodnika Petya, jak wynika z doniesień medialnych, a nowe oprogramowanie ransomware, z którym analitycy nie mieli do czynienia wcześniej.

Na chwilę obecną dane telemetryczne Kaspersky Lab wskazują na około 2 000 atakowanych użytkowników. Najwięcej ataków odnotowano w Rosji i na Ukrainie, jednak pojawiły się także próby infekcji w Polsce, we Włoszech, w Niemczech i kilku innych krajach. Wektor ataku na chwilę obecną nie jest znany.

Z wielu firm i instytucji na całym świecie płyną niepokojące wiadomości, według których mamy do czynienia z kolejnym masowym atakiem z wykorzystaniem ransomware. Według dotychczasowych informacji, może chodzić o ransomware Petya.

O atakach na rosyjski i ukraiński przemysł naftowy donosi między innymi Reuters. The Next Web informuje o całkowitej awarii systemów duńskiego konglomeratu transportowo-energetycznego Maersk czy kijowskiego lotniska Boryspol. Atak potwierdza brytyjska agencja reklamowa WPP. Wszystkie operacje są także wstrzymane w rosyjskich oddziałach Home Credit – konsultant banku potwierdził, że z powodu ataku hakerskiego.

Na razie nie jest znany wektor ataku, według ofiar komunikat informujący o zaszyfrowaniu dysku pochodzi od ransomware Petya. W marcu zeszłego roku dokonywano nim infekcji za pomocą pobieranego z Dropboksa résumé fikcyjnej osoby, ubiegającej się o pracę. Pracownicy z działu HR nie baczyli na to, że plik jest wykonywalny. Jeżeli faktycznie mamy do czynienia z Petya, to zagrożenie jest znane – program po uruchomieniu restartuje komputer, modyfikuje Master Boot Record, a następnie wyświetla fałszywą informację o sprawdzaniu dysku przez CKDSK. Wówczas dane są szyfrowane.

Rzecz w tym, że Petyę rozpoznają antywirusy (Win32.Trojan-Ransom.Petya.A), a w kwietniu zeszłego roku udostępniono narzędzie PetyaExtractor, które umożliwia wygenerowania hasła. Najpewniej jednak mamy do czynienia ze zmodyfikowaną Petyą. Na więcej informacji trzeba jednak doczekać – o nowych wydarzeniach będziemy informować na bieżąco.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.