Kibernetski napad se širi iz Ukrajine in Rusije v Evropo

Število podjetij, ki poročajo, da jih je napadel nov izsiljevalski virus, narašča. Virus naj bi doslej največjo škodo povzročil v Rusiji in Ukrajini, od koder poročajo, da so bile njegove tarče tudi vladne službe, banke in energetsko omrežje. Prizadet je bil tudi računalniški sistem za monitoring sevanja na območju nekdanje jedrske elektrarne Černobil. Strokovnjaki na prizorišču največje jedrske nesreče v zgodovini so tako začasno prešli na ročne merilce.

Zaenkrat še ni informacij, kdo bi lahko stal za napadi, strokovnjaki pa menijo, da gre nekoliko prirejeno različico izsiljevalskega virusa Petja, ki zaklene dostop do podatkov, dokler ni plačana odkupnina. Hekerji naj bi od žrtev zahtevali plačilo 300 dolarjev v bitcoinih. Do 20. ure je na račun izsiljevalcev plačilo nakazalo 29 žrtev.

Med podjetji, ki so sporočila, da jih je virus prizdel, je tudi francoski industrijski velikan Saint Gobain, britanski oglaševalski gigant WPP, danska ladjarska in naftna skupina Moeller-Maersk, ameriški farmacevtski velikan Merck in ruska naftna družba Rosneft.

Virus se širi po elektronski pošti ...

Virusa, ki se je začel širiti tudi po Evropi in ZDA, zaenkrat nacionalni odzivni center za obravnavo incidentov SI-CERT v Sloveniji še ni zaznal. Izsiljevalci po navedbah SI-CERT uporabljajo elektronski naslov wowsmith123456@posteo.net za komunikacijo z žrtvami, ta poštni naslov pa so na posteo.net hitro zablokirali.

Virus še širi tako po elektronski pošti kot RTF priponka (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199, po okužbi pa skuša okužiti sisteme na lokalnem omrežju preko ranljivosti MS17-010 in z uporabo funkcionalnosti WMI (Windows Management Instrumentation). Po okužbi zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR) in ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo.

Če ste žrtev tega izsiljevalskega virusa, kontaktirajte SI-CERT po elektronski pošti na cert@cert.si.