A A A

Kim jest Petya?

PC Format 9/2017
Ransomware, który 27 czerwca zaatakował Ukrainę i stamtąd resztę Europy, był groźnym, ale i bardzo ciekawym przypadkiem infekcji. Śledzimy, skąd się wziął i jak wyglądał ten atak. Grzegorz Łukasik


Petya (Pietia, Piotruś) to nowocześniejsza wersja ransomware WannaCry, który zaatakował w maju i w 150 krajach zablokował ok. 230 tys. komputerów. Niestety wnioski nie zostały wyciągnięte i sześć tygodni później atak Petyi się powiódł. Eksperci twierdzą, oryginalny Petya nie byłby w stanie wyrządzić tyle szkód, więc była to inna odmiana tego malware’u.

Według danych Microsoftu infekcja zaczęła się na Ukrainie i 70 proc. zainfekowanych komputerów znajdowało się na terenie tego kraju. W sumie malware przejął kontrolę nad ok. 20 tysiącami urządzeń na całym świecie. Na Ukrainie problemy miał Ukrenergo, elektrownia w Czernobylu, Antonow – producent samolotów, rosyjski Rosneft i amerykański Merck. W Polsce problemy dotknęły np. firmę Raben, TNT, Kronospan i Inter Cars.

Kto popiera Petyę

Anton Cherepanov z firmy ESET twierdzi, że hakerzy mieli dostęp do komputerów ofiar na długo przed samym atakiem (najprawdopodobniej od kwietnia), a cele namierzali i rozpoznawali po EDROU, odpowiedniku polskiego REGON-u. Niewykluczone, że sam cyberatak i zniszczenie danych tysięcy firm było zakończeniem zrealizowanych wcześniej innych działań i służyło np. do zatarcia śladów.

Petya, który nosi nazwę jednego z satelitów z zabójczą bronią z filmu z Jamesem Bondem „Golden Eye”, został wykryty już w marcu 2016, jednak atak z czerwca 2017 został przeprowadzony za pomocą nowszej wersji. Podczas wstępnej analizy szkodnika badacze z Kaspersky Lab zauważyli, że lista rozszerzeń plików, którą stosował, jest bardzo podobna do listy wykorzystywanej przez narzędzie niszczące dane (tzw. wiper) o nazwie KillDisk stosowane przez grupę cyberprzestępczą BlackEnergy w latach 2015–2016. Eksperci z Kaspersky Lab badają poczynania tej grupy od kilku lat i są bardzo dobrze zaznajomieni z jej metodami oraz atakami – głównie na sektor przemysłowy. Ten fakt oraz sposób dystrybucji malware’u wskazują, że Petya nie został stworzony z myślą o pojedynczych, domowych użytkownikach, lecz o infekowaniu firm.

Petya czy NotPetya

Malware Petya nie jest nowym szkodnikiem, tymczasem zachowanie wersji atakującej 27 czerwca odbiegało od znanego wzorca. Dlatego szkodnik otrzymał szybko nazwę NotPetya. Badający go zaczęli spierać się, czy na pewno jest to ransomware, czy tylko go udaje. Wiele wskazuje, że NotPetya to wiper, czyli szkodnik bezpowrotnie uszkadzający dane.

Ransomware to „model biznesowy” cyberprzestepców, dlatego ci nie pozwalają sobie na fuszerkę. Tymczasem NotPetya roi się od błędów. Odzyskanie danych szyfrowanych szkodnikiem wygląda na niemożliwe, bo te wg niektórych ekspertów są trwale uszkadzane, a koszt odblokowania jest podejrzanie niski. Do wpłat okupu służy pojedynczy, stały portfel Bitcoin zamiast generowanego indywidualnie dla każdej transakcji identyfikatora. W dodatku skrzynka kontaktowa została założona na publicznym serwerze i momentalnie zablokowana przez administratora, co oznacza, że przestępcy nie mogli wysłać nikomu, kto zapłacił okup, klucza deszyfrującego. Ludzie przestali więc płacić.

Być może NotPetya tylko udawał ransomware, a od początku był nastawiony na niszczenie danych w ukraińskich firmach. Co prawda 5 lipca zauważono ruch na koncie przechowującym bitcoiny pochodzące z okupu, a sami cyberprzestepcy oświadczyli, że za 100 bitcoinów udostępnią główny klucz deszyfrujący pliki (MBR nie da się już odszyfrować) i przedstawili dowody na to, że są w jego posiadaniu, jednak może być to ciąg dalszy akcji polegającej na odwracaniu uwagi.

Jak się chronić?

W folderze, w którym zainstalowany jest system Windows, należy stworzyć pusty plik o nazwie „perfc” (bez rozszerzenia) i nadać mu atrybut „tylko do odczytu”. Petya tworzy taki plik podczas działania, jednak gdy plik już istnieje, program głupieje i przerywa swoją pracę.

Cel: Polska

Tym razem atak był wymierzony w Ukrainę, a reszta świata oberwała rykoszetem. Jednak dotyczący cyberbezpieczeństwa raport firmy Check Point Software Technologies pokazuje, że Polska jest już na szóstym miejscu w Europie wśród krajów z największą liczbą ataków. Wyżej w „rankingu” są Macedonia, Gruzja, Albania, Rosja i Rumunia. Niepokojem napawa fakt, że w czasie poprzedniego badania Polska była na osiemnastym miejscu. Zaatakowanie serwera z „rządowym” oprogramowaniem nie jest, jak wskazuje przykład Petyi, niemożliwe. W maju 2017 pojawiła się aktualizacja polskiego Płatnika, która była blokowana przez programy antywirusowe. Przypadek, czy też Polska szczęśliwie uniknęła losu Ukrainy?


Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności




Artykuły z wydań

  • 2022
  • 2021
  • 2020
  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014
  • 2013
  • 2012
  • 2011
  • 2010
  • 2009
  • 2008
  • 2007
Zawartość aktualnego numeru

aktualny numer powiększ okładkę Wybrane artykuły z PC Format 1/2022
Przejdź do innych artykułów
płyta powiększ płytę
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto