SI-CERT (Slovenian Computer Emergency Response Team) je slovensko javnost obvestil, da je izsiljevalski virus Petrwrap/Petya 27. junija 2017 okužil večje število sistemov v Ukrajini, Rusiji, na Danskem, Nizozemskem, v Veliki Britaniji in drugod ter da še niso prejeli prijav o morebitnih okužbah v Sloveniji.
Opozarjajo, da izsiljevalci uporabljajo elektronski naslov [email protected] za komunikacijo z žrtvami, ta poštni naslov pa so na posteo.net hitro zablokirali in da se virus širi tako po elektronski pošti kot RTF priponka (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199, po okužbi pa skuša okužiti sisteme na lokalnem omrežju preko ranljivosti MS17-010 in z uporabo funkcionalnosti WMI (Windows Management Instrumentation). Po okužbi zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR) in ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo.
Izsiljevalski virus Petrwrap/Petya je podoben izsiljevalskemu virusu, ki je 12. maja 2017 okužil več sto tisoč računalnikov po svetu, tudi v Sloveniji v Revozu iz Novega mesta. Virus se širi preko elektronske pošte in napada računalnike, ki imajo vgrajen program Windows. Ko odpremo priponko, se virus aktivira tako da zaklene/zakodira računalnik in za ponovni dostop zahteva odkupnino v virtualni valuti bitcoin v vrednosti 300 dolarjev.
Včerajšnji kibernetski napad, ki se je iz Rusije in Ukrajine razširili v zahodno Evropo, ZDA in Avstralijo, je prizadel številna podjetja in državne institucije. Družba Kaspersky Lab je doslej zabeležila okoli 2000 večjih napadov, a je škoda po prvih podatkih zaradi boljše zaščite nekoliko manjša kot pri majskem napadu.
Po poročanju BBC-ja, se je v preiskavo vključila tudi Mednarodna policija Interpol , ki podrobno nadzira razmere in se povezujejo z državami, ki jih je napad prizadel.
Pri prejemanju in odpiranju elektronske pošte moramo biti skrajno previdni, še posebej pri klikanju na priponke in spletne povezave, kot tudi pri splošni uporabi interneta. Ravnati se moramo po temeljnih načelih informacijske varnosti za uporabnike:
– tako da ne odpiramo elektronske pošte s sumljivimi naslovi in vsebino (tudi s strani poznanih oseb) ter nanjo ne odgovarjamo oziroma predhodno preverimo avtentičnost pri pošiljatelju. Nevarne so predvsem priponke in spletne povezave, tako v sporočilih kot v brskalnikih, ko jih odpremo, se lahko sproži škodljiva koda;
– da ne aktiviramo makrojev (»Enable macro?«) v Office (Word, Excel) dokumentih, če nismo prepričani o izvoru dokumenta in potrebnosti aktiviranja makrojev;
– da ne nasedamo lažnim obvestilom, ki naj bi jih poslale znane korporacije (npr. lažno obvestilo Microsofta o “FREE” nadgradnji Windows 10;
– da smo previdni pri rabi svetovnega spleta, pri klikanju na nepoznane spletne strani ter pri vnašanju osebnih in drugih podatkov na spletne strani, ki so lahko tudi ponarejene.
Iz SI CERTA sporočajo, da če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostne kopije. V primeru, da varnostne kopije nimate, nas kontaktirajte po elektronski pošti na [email protected]. Plačilo odkupnine trenutno ni smiselno, saj je elektronski naslov napadalca že blokiran, s čimer je postopek odkupa šifrirnega ključa onemogočen. Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam svetujemo preventivno menjavo vseh gesel, ki bi lahko bila odtujena.