Petya prizadela vsaj 65 držav

Virus Petrwrap/Petya, ki se je včeraj začel širiti po Ukrajini, je prizadel računalniške sisteme v vsaj 65 državah, ugotavlja Microsoft. Iz telemetrije, ki jo računalniki z Windows pošiljajo Microsoftu, je razvidno, da je v Ukrajini okuženih več kot 12.500 računalnikov, precej pa tudi v ostalih državah. Poleg Ukrajine sta najbolj prizadeti Rusija in Poljska. Med prizadetimi je tudi Slovenija, kjer se je na SI-CERT obrnilo vsaj eno podjetje.

Virus se širi prek priponk RTF v elektronski pošti in za napad izkorišča ranljivosti EternalBlue in EternalRomance, ki ju je Microsoft v svojih sistemih zakrpal že marca. Virus se širi v lokalnem omrežju, če ima okužen uporabnik zadostne pravice, se pa izven lokalnega omrežja sam od sebe ne širi. Virus po okužbi zašifrira NTFS-jev MFT, uniči MBR in zašifrira vse datoteke s končnicami, ki nakazujejo podatke.

Virus zahteva plačilo odkupnine, stik s pisci pa se vzpostavi prek elektronske pošti pri ponudniku Posteo. Ta je elektronski predal že onemogočil, zato uporabniki do svojih podatkov ne morejo, četudi bi plačali odkupnino in poizkusili stopiti v stik s pisci virusa. Posteo pojasnjuje, da na svoji infrastrukturi ne bodo pomagali pri izvrševanju kaznivih dejanj. Pisci ne morejo do računa, prav tako na ta naslov ne moremo več pošiljati elektronske pošte. Kot je razvidno iz transakcij z bitcoini, se je nabralo za 5500 dolarjev odkupnin, ki jo je plačalo 20 žrtev. Ni jasno, ali so uspeli dobiti podatke nazaj.

Za zdaj virusa še niso strli, zato je edina rešitev obnovitev podatkov iz varnostnih kopij. Kar se tiče širjenja virusa, pa je trenutni osumljenec program M.E.Doc, ki ga ukrajinska podjetja uporabljajo za računovodstvo. Strokovnjaki sklepajo, da so napadalci uspeli vdreti v strežnike podjetja in nanje podtakniti okuženo posodobitev. Podjetje to zanika, čeprav to ne bi bilo prvič, da je M.E.Doc pomagal širiti nesnago. Maja so namreč pomagali širiti XData.