Începând de marţi, 26 iunie 2017, companii din mai multe ţări, mai cu seamă Ucraina, au fost afectate de o variantă de ransomware cunoscută cu denumirea de Petya/Petwrap care pare să fie o formă modificată a variantei de ransomware Petya cunoscută încă din anul 2016, informează CERT-RO. Redăm mai jos detaliile despre acest virus, analizat de specialiştii CERT-RO.
“Până în acest moment nu a fost stabilit cu exactitate vectorul de infecţie (modalitatea de răspândire), însă în urma analizării informaţiilor deţinute până în acest moment de CERT-RO, atât din surse proprii cât şi externe), există mai multe variante posibile: Răspândirea printr-o campanie de mesaje email de tip SPAM ce conţin oferte cu locuri de muncă (email recruiting); Exploatarea unei vulnerabilităţi a protocolului SMB cunoscută cu denumirea de EternalBlue (utilizată şi de WannaCry); Răspândirea în reţea (lateral movement) prin facilitatea WMIC (Windows Management Instrumentation Command-line) şi/sau RDP.
Impact:
Această variantă de ransomware afectează sistemele de operare Windows şi are atât capabilităţi de criptare a fişierelor de pe disc, dar şi de blocare a accesului la PC prin alterarea MBR (Master Boot Record). Se pare că în mod implicit malware-ul încercă mai întâi să blocheze accesul la sistem prin alterarea MBR, însă dacă nu reuşeşte să obţină privilegii de administrator pentru a efectua această operaţiune criptează direct fişierele de pe disc.
Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat şi la fişiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.
Recomandări:
CERT-RO îndeamnă toţi utilizatorii să-şi actualizeze cât mai urgent sistemele de operare şi aplicaţiile şi să implementeze următoarele măsuri: utilizarea unui produs antivirus/antimalware modern şi actualizat cu ultimele semnături; manifestarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email; realizarea periodică a unor copii de siguranţă (backup) pentru datele importante; implementarea măsurilor din „Ghidul privind combaterea ameninţărilor de tip ransomware” elabort de CERT-RO şi disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware”.
