Firmy na całym świecie właśnie przeżywają najczarniejszy możliwy scenariusz – utrata danych i kompletny paraliż. Wszystko to za sprawą ransomware Petya, które za odzyskanie dostępu do danych żąda 300 dolarów.
Skala ataku jest ogromna!
Jak widać na powyższym wykresie najbardziej ucierpiały firmy z Ukrainy. Prawdopodobnie to właśnie ten kraj był głównym wektorem ataku, jednak wirus w niekontrolowany sposób rozprzestrzenił się na terytorium Rosji i Polski. Wbrew pozorom to nie jest tak, że Polska ucierpiała tylko w marginalnym stopniu. To w Rosji i na Ukrainie skala szkód jest wręcz niewyobrażalna. Warto tu wspomnieć, że premier Beata Szydło zwołała w tej sprawie spotkanie sztabu kryzysowego. Jakie firmy ucierpiały? Według Zaufanej Trzeciej Strony w Polsce były to między innymi MediaCom, Kronospan, Intercars, TNT, Raben i wiele innych. Na Ukrainie sytuacja wygląda poważniej – tam ofiarami są banki, Gabinet Rady Ministrów, MSW, elektrownia w Czarnobylu, producent samolotów Antonov, stacja telewizyjna, firmy telekomunikacyjne itp. Wicepremier Ukrainy – Pawło Rozenko stwierdził, że „sieć leży”
Та-дам! Секретаріат КМУ по ходу теж „обвалили”. Мережа лежить. pic.twitter.com/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo) June 27, 2017
Jak działa Petya?
Po dostaniu się do komputera ofiary wirus skanuje sieć i podejmuje próby rozprzestrzenienia się. Następnie oprogramowanie szyfruje pliki i pozostawia informację o okupie:
Na tym etapie musimy wysłać 300 dolarów w bitcoinach na konto 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Następnie należy wysłać maila pod adres [email protected], w którym musimy podać adres portfela BTC, z którego zostały wysłane pieniądze oraz widoczny w komunikacie od przestępców klucz. Niestety, to absolutnie nic nie da. Administracja poczty Posteo wykazała się wręcz niewyobrażalną głupotą i zablokowała omawianą skrzynkę. W ten sposób poszkodowani stracili prawdopodobnie jedyną szansę na odzysk danych. Mimo wszystko niektórzy nadal wysyłają pieniądze. Bitcoin nie ukrywa danych na temat transakcji, dzięki czemu wiemy co dzieje się z danym portfelem. W momencie pisania tego tekstu portfel podany w komunikacie posiada 45 transakcji, z czego 32 to wpłaty po około 0,12 BTC, tj. 300 dolarów. Łącznie na koncie znajdują się prawie 4 BTC, co po przeliczeniu daje prawie 40 tysięcy złotych.
Czy celem była Ukraina?
Niedawno ktoś włamał się na serwery ukraińskiej firmy IT i podmienił aktualizację programu finansowego, z którego korzystały niemal wszystkie ukraińskie firmy. Dlaczego więc z problemami musi walczyć również Polska i Rosja? Otóż program był wykorzystywany przez zagraniczne firmy mające oddziały w tym państwie. Ukraińskie władze twierdzą, że odnaleziono ślady ataku prowadzące do Rosji. Byłoby to dziwne, ponieważ w Rosji poszkodowany jest jeden z gigantów paliwowych, jednak z uwagi na napięte stosunki Rosji z Ukrainą nie można wykluczyć takiej ewentualności.
Jak się bronić?
Petya nie atakuje indywidualnych użytkowników, raczej nie trzeba martwić się o ewentualne zainfekowanie komputera. Przez pewien czas twierdzono, że ransomware jest rozprowadzane poprzez wiadomości e-mail, jednak prawdopodobnie nie jest to prawda. Raczej nie ma już ryzyka infekcji, dystrybucja aktualizacji ukraińskiego programu rozliczeniowego została przerwana. Istnieją pewne instrukcje, według których utworzenie prostego pliku potrafi zablokować działanie ransomware, jednak według niektórych badaczy sposób ten nie działa. Pozostaje nam czekać na dalszy rozwój wypadków i analizę tego szkodnika.