Skoči na vsebino

SI-CERT 2017-05 / Širjenje Petya/Petrwrap izsiljevalskega virusa

Povzetek

Izsiljevalski virus Petrwrap/Petya je 27. junija 2017 okužil večje število sistemov v Ukrajini, Rusiji, na Danskem, Nizozemskem, v Veliki Britaniji in drugod. Na SI-CERT smo prejeli dve prijavi o okužbi v slovenskih podjetjih. Izsiljevalci uporabljajo elektronski naslov wowsmith123456@posteo.net za komunikacijo z žrtvami, ta poštni naslov pa so na posteo.net že zablokirali. Zadnji podatki kažejo, da namen virusa ni bilo finančno okoriščanje z izsiljevanjem, ampak uničevanje podatkov.

Protivirusno podjetje Kaspersky je objavilo graf okužb po državah. Prednjačita Ukrajina in Ruska federacija.

Graf okužb po državah
Graf okužb po državah

Širjenje virusa

Po nekaterih podatkih naj bi bil prvotni vektor okužbe zlorabljen sistem posodabljanja računovodske programske opreme ukrajinskega proizvajalca MeDoc. Podjetje je sicer te navedba  zavrnilo.

Virus naj bi se širil tudi po elektronski pošti kot RTF priponka, ki izkorišča ranljivost CVE-2017-0199 (gre za nepreverjene informacije).

Po okužbi poskuša okužiti tudi sisteme na lokalnem omrežju preko ranljivosti CVE-2017-0144 (EternalBlue) ter CVE-2017-0145 (EternalRomance). Microsoft je obe ranljivosti zakrpal z marčevskim popravkom MS17-010. V lokalnem omrežju se prav tako širi z uporabo funkcionalnosti WMIC/PsExec, če ima okužen uporabnik administratorske pravice na drugih sistemih v omrežju, oz. virus avtentikacijske podatke pridobi na sistemu in/ali v omrežju. Za razliko od virusa WannaCry se Petrwrap ne širi izven lokalnega omrežja.

Šifriranje podatkov

Če ima virus dovolj visoke pravice, po okužbi prepiše MBR (master boot record), nato počaka od 10 minut do ene ure, ko ponovno zažene računalnik in prikaže lažno obvestilo, ki izgleda kot sistemsko obvestilo o preverjanju diska (chkdsk).

Lažno sistemsko obvestilo o preverjanju diska
Lažno sistemsko obvestilo o preverjanju diska

V tem času zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR). Zašifrira tudi datoteke v vseh mapah razen c:\Windows z naslednjimi končnicami:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo.

Izsiljevalsko sporočilo
Izsiljevalsko sporočilo

Postopek v primeru okužbe

Če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostne kopije. V primeru, da varnostne kopije nimate, nas kontaktirajte po elektronski pošti na cert@cert.si. Plačilo odkupnine ni smiselno, saj je analiza virusa pokazala, da ta nima možnosti restavriranja datotek. Poleg tega je elektronski naslov napadalca blokiran, s čimer je postopek odkupa šifrirnega ključa onemogočen. Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam svetujemo preventivno menjavo vseh gesel, ki bi lahko bila odtujena.

Zaščita

Uporabnikom svetujemo

  • sprotno izdelavo varnostnih kopij
  • redno posodabljanje celotnih sistemov
  • uporaba uporabniških računov z omejenimi pravicami
  • vpeljava principov minimalnih privilegijev
  • uporaba različnih administratorjih gesel v omrežju
  • omejitev dostopov do omrežnih sistemskih virov zgolj na nujno potrebne dostope
  • blokada SMB prometa na mejah omrežja (vrata TCP/445)

Zagon virusa se lahko ustavi s kreiranjem datoteke C:\Windows\perfc (brez podaljška). Slednje je potrebno narediti predno pride do okužbe. Ta zaščita deluje zgolj za to specifično verzijo virusa, ki se je širila 27.6.2017. Če se bodo pojavile nove variante virusa, ni nujno, da bo ta ukrep blokiral izvajanje tudi v teh primerih.

Povezave

Prva objava: 27. junij 2017 17:40

Zadnja sprememba: 29. junij 2017 9:35

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več