Ogroman cyber napad počeo je danas prvo u Ukrajini, a prema izvještajima sa svih krajeva svijeta širi se nevjerovatnom brzinom.
Prema informacijama kompanije Kaspersky, virus nazvan "Petya" pojavio se prvo u Ukrajini, a potom se proširio nevjerovatnom brzinom na veći dio Evrope, Indiju, Kinu, Japan i SAD.
Australski mediji javljaju da je u popodnevnim satima virus registrovan i u ovoj zemlji.
Costin Raiu, šef odjela za internet bezbjednost u Kaspersky Labu, izjavio je kako "Petya" napada velike mrežne sisteme, obično one koje imaju banke i firme sa mnogo uposlenika.
Prema podacima Norsea, kompanije koja se bavi analizom i porijeklom hakerskih napada širom planete, trenutno je ovim virusom najugroženija Evropa, a Bosna i Hercegovina se nalazi na listi država kojima prijeti opasnost.
Do ovog trenutka Petya nije registrovana na prostoru BiH, ali nije isključeno da se proširi i na našu zemlju.
Petya koristi lažni potpis Microsofta prilikom infiltriranja u sisteme i za sada od ovog virusa ne postoji nikakva zaštita.
Virus napada datoteke, koje potom zaključa i od vlasnika traži novac da mu se vrate podaci sa računara.
Nadležni organi ne znaju ko stoji iza ovog napada, kao što nisu saznali ni ko je stajao iza napada virusom "Wanna Cry", a jedino što je poznato je e-mail napadača, koji glasi [email protected],
Savjeti
Odjeljenje za informacionu bezbjednost – CERT Republike Srpske obavještava sve javne ustanove, organe uprave, fizička i pravna lica u Republici Srpskoj da je uočeno globalno širenje nove varijante poznatog „Petya“ransomvera pod nazivom „Petwrap“.
„Petwrap“ se širi eksploatacijom poznate SMB ranjivosti koja je korišćenja za širenje „WannaCry“ ransomvera, koji je u roku od 72 sata zarazio preko 300 000 računara. Ovaj virus koristi modifikovani alat „EternalBlue“, navodno kreiran od strane NSA, i dva alata za „Windows“„ WMIC“ i „PsExec“.
Za razliku od „WannaCry“ koji je ciljao neažurne verzije „Petwrap“ ima mogućnosti napada i na računare sa ažurnim verzijama softvera. Dovoljno je da je samo jedan računar na mreži ranjiv na SMB ranjivost da se zarazi kompletna mreža ažurnih računara.
„Petwrap“ je već zarazio računare u ruskoj naftnoj kompaniji „Rosneft“, kompanije za distribuciju električne energije iz Ukrajine „Kyivenergo“ i „Ukrenergo“, „Boryspil“ aerodrom u Kijevu i desetine banaka, telekomunikacionih i transportnih kompanije širom svijeta.
„Petya“ za razliku od drugih ransomvera ne enkriptuje pojedinačne datoteke. Ovaj ransomver enkriptije MFT (Master File Table) hard diska i onemogućava pristup MBR (Master Boot Record) zaključavajući informacije o imenima, veličinama i lokacijama datoteka na fizičkom disku.
Nakon inicijalne infekcije „Petya“ restartuje računar i pokreće lažni CHKDSK proces ( proces koji „Windows“ računari koriste kako bi provjerili da li se na hard disku nalaze oštećene datoteke) koji enkriptuje podatke.
Iako do sada nisu prijavljene infekcije ove vrste unutar kibernetičkog prostora Republike Srpske, ukoliko se iste uoče, preporučujemo sljedeće korake:
U slučaju restartovanja i pokretanja CHKDSK procesa prekinite dovod napajanja do računara.
Privremeno isključite „WMIC“ (Windows Management Instrumentation Command-line) koji „Petwrap“ koristi da inficira i računara se ažurnim softverom.
Poželjno je blokiranje „PsExec“ alata na korisničkim računarima.
Obavezno primijenite ažuriranje MS17-010 (link is external), objavljeno od strane „Microsoft“ 14. marta ove godine.
Blokirajte eksterni pristup TCP portovima 139 i 445.
Obavijestiti CERT Republike Srpske putem e-mail adrese [email protected] (link sends e-mail) ili putem veb stranice https://oib.aidrs.org
NE PLAĆATI „bitcoin“ otkupninu (oko 300 USD) jer ista ne garantuje povrat podataka. Poruke koje zahtijevaju otkupninu korisnike upućuju na e-mail adresu wowsmith123456[@]posteo[.]net koju je njemački e-mail provajder „Posteo“ onemogućio tako da napadač nema način da vam pošalje dekripcione ključeve.
Ne otvarajte e-mail poruke nepoznatih pošiljaoca, pored toga obratite pažnju na „Excel“ dokumente koje možete dobiti u e-mail porukama, jer su zabilježeni slučajevi širenja virusa eksploatacijom CVE-2017-0199 ranjivosti u „Microsoft Excel“.
Napravite „backup“ najbitnijih podataka.
OIB – CERT Republike Srpske vrši aktivan nadzor nad širenjem ove infekcije i o eventualnim pojavama „Petwrap“ ransomvera u kibernetičkom prostoru Republike Srpske, sa preporukama u vezi sanacije štete obavijestićemo javnost.
