hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
28 czerwca 2017

Globalny atak ransomware Petya

W dniu wczorajszym byliśmy świadkami globalnego ataku złośliwego oprogramowania typu ransomware o przypisywanych nazwach Petya/NonPetya/GoldenEye.

Podobnie jak w przypadku kampanii WannaCry, Petya wykorzystuje podatności protokołu SMB v1 (EternalBlue) łatane marcową aktualizacją Microsoftu MS17-010. W odróżnieniu jednak od swojego poprzednika, Petya wykorzystuje również Microsoftowe narzędzia Psexec, WMIC w celu propagacji złośliwego kodu, również na w pełni aktualizowanych systemach operacyjnych Microsoftu.

Inaczej niż w przypadku większości ransomware, Petya szyfruje plik systemowy Master File Table na partycjach NTFS, w którym gromadzone są pełne informacje o ścieżce dostępu i strukturze każdego pliku na danej partycji, a dodatkowo podmienia wpis MBR (Master Boot Record) zastępując go żądaniem okupu, tym samym uniemożliwiając poprawne uruchomienie systemu.

Złośliwe oprogramowanie uruchamia się z około 40 minutowym opóźnieniem, a infekcja wykonywana jest w dwóch etapach. Pierwszy podmienia MBR i wymusza automatyczny restart stacji, a drugi – wykonuje właściwe szyfrowanie podczas gdy oczom użytkownika prezentowany jest poniższy komunikat:

Jeżeli zobaczycie taki ekran, zalecamy wyłączenie urządzenia, zanim proces narzędzia CHKDSK dobiegnie końca, ignorując fałszywe ostrzegawcze komunikaty podstawione przez złośliwe oprogramowanie. Wyłączenie komputera w porę pozwoli zapobiec szyfrowaniu, a do odzyskania plików zalecamy wykorzystanie narzędzi liveCD, za pomocą których uchronicie się przed utratą danych.

W celu poprawy bezpieczeństwa stacji dla tego i przyszłych zagrożeń rekomendujemy:

  • instalowanie najnowszych aktualizacji systemowych, w tym poprawkę z biuletynu Microsoft MS17-010. W przypadku braku możliwości aktualizacji zalecamy wyłączenie obsługi SMBv1.
  • regularnie tworzyć kopie zapasowe (najlepiej na dedykowanym do tego urządzeniu, niepodłączonym do sieci lokalnej – ewentualnie poprzez zastosowania uwierzytelniania)

Ponadto przypominamy o zachowanie szczególnej ostrożności przy korzystaniu z poczty elektronicznej oraz przeglądaniu stron internetowych. W szczególności w przypadku otrzymania podejrzanych wiadomości e-mail, nie należy klikać w żadne linki, czy załączniki, przysłane za ich pośrednictwem!

Użytkownicy sieci Orange Polska w chwili obecnej są chronieni za pomocą CyberTarczy przed zidentyfikowanymi wektorami ataku.

14 stycznia 2025
Aktywnie wykorzystywany zero-day na urządzenia Fortinet!
Dowiedz się więcej
13 stycznia 2025
Kolejne SMS-y z podszyciem pod przesyłki
Dowiedz się więcej
30 grudnia 2024
Uwaga na próby przejęcia kont Telegram
Dowiedz się więcej