Skoči na vsebino
Varni na internetu
Novice /

Širjenje Petya/Petrwrap izsiljevalskega virusa

Na nacionalnem odzivnem centru SI-CERT smo bili včeraj, 27. junija 2017, obveščeni o izredno hitrem širjenju izsiljevalskega virusa Petya oz. Petrwrap, ki je prizadel uporabnike v več državah, predvsem v Ukrajini, Rusiji in na Poljskem. V Sloveniji smo danes, do 11. ure, prejeli eno prijavo o okužbi v slovenskem podjetju.

Prikaz širjenja virusa (vir grafike: Proizvajalec protivirusne zaščite Kaspersky Lab)
Stolpični prikaz širjenja virusa po državah Ukrajina, Rusija, Poljska, Italija, nemčija in Belorusija (vir grafike: Proizvajalec protivirusne zaščite Kaspersky Lab)

Virus se širi tudi po posodobljenih sistemih

Izsiljevalski virus vsebuje funkcionalnost t.i. črva, ki se lahko samodejno širi po omrežju. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry.

Tokratni virus se poleg izkoriščanja omenjene Windows ranljivosti, širi tudi prek elektronske pošte z okuženimi priponkami ter v lokalnem omrežju z uporabo funkcionalnosti WMIC/PsExec. Če ima okužen računalnik pravice tudi na drugih računalnikih v omrežju, virus zašifrira datoteke tudi tam, čeprav so računalniki redno posodobljeni.

Po okužbi virus zašifrira uporabniške datoteke, prav tako pa tudi spremeni zagonski del diska, s čimer onemogoči normalni zagon sistema. Za vzpostavitev sistema v normalno stanje zahteva odkupnino v vrednosti 300 dolarjev v kriptovaluti Bitcoin. Elektronski naslov, kamor naj bi žrtve poslale potrdilo o plačilu odkupnine, na podlagi katere bi prejele ključ za odšifriranje, je blokiran, tako da je proces odkupa šifrirnega ključa trenutno povsem onemogočen.

Primer obvestila na zaslonu, ki ga pusti virus po zašifriranju vseh dokumentov.
Na grafiki je viden primer obvestila na zaslonu, ki ga pusti virus po zašifriranju vseh dokumentov.

Postopek v primeru okužbe

Če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostnih kopij. V primeru, da varnostnih kopij nimate, kontaktirajte nacionalni center SI-CERT na elektronski naslov cert@cert.si. Plačilo odkupnine trenutno ni smiselno, saj je elektronski naslov napadalca že blokiran. Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam okužbe svetujemo preventivno menjavo vseh gesel, ki bi lahko bila odtujena.

Na spletu je sicer najti informacije, da se zagon virusa lahko ustavi s kreiranjem datoteke c:\Windows\perfc, vendar jih na SI-CERT trenutno ne moremo z gotovostjo potrditi in ta ukrep še preverjamo.

Povezane novice

Novice /

Poplava okužb z izsiljevalskimi virusi, ki zašifrirajo vse dokumente

V letu 2016 smo priča pravi poplavi izsiljevalskih virusov. Okužene so številne šole, knjižnice, zdravstveni domovi, mestne občine, lekarne, muzeji.

Kako se zaščititi
Novice /

En napačen klik lahko pomeni nočno moro za podjetje

V okviru letošnjega Evropskega meseca kibervarnosti, ki povezuje več kot 300 partnerjev iz cele Evrope, smo pripravili izobraževalne vsebine za mala podjetja, ki so vse pogosteje tarča spletnih kriminalcev.

Kako se zaščititi