Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N6889/petya_petrwap_ransomware.jpg

Újabb zsarolóvírus tarolta le a fél világot

2017.06.27. 20.48
A keddi nap folyamán számos ukrán szervezetet, köztük bankokat és elektromos művet támadtak meg a kibertérben – az eset nagyon hasonló a WannaCry májusi pusztításához. Az első jelentések még Oroszországot sejtették az ügy hátterében, majd a támadáshoz használt zsarolóvírus egyre több országban (köztük Oroszországban) titkosította le az adatokat.

Az egyik legnagyobb ukrán bank, az Oschadbank és az Ukrenergo áramszolgáltató is áldozatul esett, amivel számos szolgáltatásul elérhetetlenné vált, majd a Boriszpili nemzetközi repülőtér is bejelentette az őket érő támadást. Ezt követően még számos ukrán szervezet jelentett be biztonsági incidenst.



A délután folyamán viszont az ismeretlen kártevő Ukrajna mellett számos ország számos szervezete ellen indított sikeres támadást, köztük Oroszországban (Rosznyefty olajvállalat), Németországban, Franciaországban, Norvégiában, Hollandiában, de még Magyarországon is – 300 dollárnyi bitcoint követelve a fájlok (dokumentumok, fotók, videók, stb.) visszaállításáért cserébe.


Ha ezt a képernyőt látod, azonnal áramtalanítsd a gépet! A zsarolóvírus itt végzi a fájlok titkosítását.


Alan Woodward, a Surrey-i Egyetem biztonsági szakértője a tavaly felfedezett Petya zsarolóvírus egyik variánsát (Petrwrap) sejti a támadás hátterében, a Kaspersky szakértője szerint viszont egy teljesen új, eddig ismeretlen kártevőről van szó.

A kártevő pontos technikai részletei még nem ismertek, így nem tudni, hogy milyen módszerrel vált ennyire hatékonnyá. Ugyanakkor megfelelő védelemmel (IPS/IDS, tűzfal, viselkedésalapú antivírus), a biztonsági javítások rendszeres telepítésével és laikusok számára is érthető kiberbiztonsági oktatásokkal megelőzhető lett volna, hogy ismét bekövetkezzen egy WannaCry-hoz hasonló katasztrófa.

Frissítés



A Blockchain.info weboldalon figyelemmel kísérhetjük a befizetett váltságdíjakat is, amikért cserébe az áldozatok amúgy már nem kapják meg a visszaállító-kulcsokat, ugyanis az erre szolgáló wowsmith123456@posteo.net e-mail fiókot a német szolgáltató letiltotta.

Időközben az is kiderült, hogy ez a ransomware is az amerikai nemzetbiztonságtól (NSA) EternalBlue néven kiszivárgott exploitot, valamint a Windows egyes rendszerparancsait (WMIC és PSEXEC) használja a belső hálózatokon való terjedéséhez. Működését tekintve nem kizárt, hogy fejlettebb a WannaCry-nál, ráadásul fizetett önkéntesek is terjesztik, elsősorban e-mail formájában.


Forrás: Reuters, The New York Times, Threatpost