Brutális zsarolóvírus söpör végig a világon

Újabb globális vírusinvázió vette kezdetét, amelynek már most számos nagyvállalat eset áldozatául. Ezúttal a Petya zsaroló program tért vissza.
 

Az eddigi jelentések szerint az elmúlt órákban hasonló vírustámadás kezdett kibontakozni, mint amit a múlt hónapban a WannaCry zsaroló program okozott. Ezúttal azonban nem egy teljesen új károkozó kezdte ostromolni a rendszereket, hanem a több mint egy évvel ezelőtt megjelent, Petya nevű ransomware tért vissza, méghozzá roppant nagy intenzitással.
 
Az eddigi hírek szerint a problémák először Ukrajnában jelentkeztek, ahol több ukrán bank és vállalat, majd a Boriszpili repülőtér informatikai rendszerébe is bekerült a Petya. Nem sokkal később a Reuters úgy értesült, hogy a legnagyobb orosz olajvállalat, a Rosznyefty is támadás áldozatává vált.
 
A vírusinvázió hamar tovább gyűrűzött. Az áldoztatok listáján eddig olyan vállalatok neve szerepel, mint például az Evraz, a Mars, a Nivea, a TESA, a Mondelez és a dán Maersk. Vagyis minden jel arra utal, hogy Európán már végig söpört a Petya, és egyes hírek szerint magyar vállalatokhoz is betette a lábát.  
A Kaspersky Lab eddigi elemzései azt mutatják, hogy a Petya mostani kitörése valamivel kisebb, mint ami a WannaCry esetében megfigyelhető volt, de problémát jelent, hogy egyelőre nincs olyan megoldás, amivel egy csapásra meg lehetne gátolni a Petya terjedését. (Az első WannaCry variánsok esetében erre volt lehetőség.) Így most mindennél fontosabbá vált a víruskeresőket gyártó cégek gyors reakciója, és a víruskeresők gyakori frissítése.
 
Nagyon úgy fest, hogy a Petya mögött álló csoport sok mindent ellesett a WannaCry terjesztőitől. Ennek következtében az új variáns elkezdte kihasználni azt a Windows-os SMB-hibát, amit a WannaCry is. (Mindezt már az Avira, az Emsisoft, a Bitdefender és a Symantec is megerősítette.)  Sajnos azonban ennyivel nem éri be, ugyanis egyéb sérülékenységek is segítik a terjedését. A Petya alapvetően elektronikus levelek révén próbál beférkőzni a felhasználók postafiókjaiba, illetve a számítógépekre. Ezek az e-mailek egy Office (általában RTF-formátumú) dokumentumot tartamaznak a mellékletükben. Amennyiben a felhasználó ezt megnyitja, akkor egy biztonsági hiba (CVE-2017-0199) kihasználásával egy SMB-féreg indul el, amely rögtön elkezdi szaporítani a helyi hálózatban a Petya fájlját, és perceken belül nagyon komoly pusztítást végez.
 
Teljes rombolás
 
A Petya a zsaroló programok veszélyességi toplistáján az élen áll. Ennek oka, hogy amikor megfertőz egy számítógépet, akkor nem kizárólag a fájlokat titkosítja, hanem a fájlrendszert is megrongálja. (Felülírja az MBR-t és az MFT-ket.). Majd újraindítja a számítógépet, amely már nem képes betölteni a Windows-t. Helyette egy zsaroló üzenet jelenik meg. A Petya jelenleg 300 dollár értékű Bitcoint követel.  
A zsaroló program a következő kiterjesztésekkel rendelkező fájlokat teszi tönkre (kivételt csak a c:\Windows mappában lévő állományokkal tesz):
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip.
 
A zsaroló program elleni védekezés szempontjából rendkívül fontos a biztonsági mentések készítése, és azok védett helyen történő tárolása. Emellett a Windows, az Office és az egyéb alkalmazások frissítésére is oda kell figyelni.

Frissítés: A német Posteo szolgáltató jelezte, hogy letiltja a Petya képernyőjén látható, zsarolók által megjelölt postafiókot (wowsmith123456@posteo.net).  Ez egy nagyon drasztikus döntés, ugyanis az egyetlen olyan kommunikációs csatorna, amin keresztül a támadók elérhetők. A Posteo a döntésével tulajdonképpen minden esélyt elvesz az áldozatoktól, hogy a dekódoláshoz szükséges információkhoz hozzájuthassanak. Persze ez esetben sem garantálná semmi, hogy a csalók állják a szavukat, és a fizetés után megküldik a dekódoló kulcsot, de most már esélyük sem lesz rá. Marad a fertőzött rendszerek újratelepítése és a biztonsági mentésből történő helyreállítás.

Frissítés 2.: Biztonsági kutatók találtak egy olyan gyenge pontot a Petya kódjában, amivel megakadályozhatóvá válhat a fertőzés.