Petya

Petya je ransomware (izsiljevalski program), ki ogroža računalnike z operacijskim sistemom Microsoft Windows. Virus na okuženem računalniku zašifrira datoteke in s tem uporabniku onemogoči dostop do podatkov. V zameno za plačilo v kriptovaluti Bitcoin, uporabniku omogoči povrnitev zašifriranih podatkov.^[1]

Začetek

Virus Petya se je prvič pojavil marca 2016. Podjetje Check Point Software Technologies Ltd. je izpostavilo dejstvo, da virus Petya deluje drugače kot drugi izsiljevalski programi. Za razliko od ostalih, virus Petya na kontaminiranem računalniku preko pomnilnika poišče gesla iz pomnilnika ali iz datotečnega sistema, ki omogočijo širitev virusa na druge sisteme. Petya izrablja tudi sistemsko orodje PsExec preko katerega širi okužbo z uporabo zlonamernih kod na druge računalnike. Na primer, če ima okužen računalnik skrbniški dostop do omrežja, lahko virus okuži vse računalnike v istem omrežju. Virus Petya je bil označen kot naslednji korak v razvoju ransomware-ov. Program je zahteval 0,9 Bitcoina za obnovitev dostopa do datotek uporabnika (takrat 380 USD).^[2] Maja 2016 se je pojavila tudi druga različica programa, ki se imenuje Mischa. Mischa deluje skupaj z virusom Petya, združujeta pa ju dva različna načina šifriranja podatkov. Petya zašifrira MFT (Master File Table) in MBR (Master Boot Record).^[3] V primeru, da Petya nima dostopa do MBR na trdem disku, se razširi Mischa, ki šifrira datoteke uporabnika z uporabo ključa RSA-2048, nato pa zahteva odkupnino v višini 1,93 Bitcoina (takrat 875 USD).^[4]

Delovanje

V primeru okužbe, ransomware šifrira pomembne dokumente in datoteke in nato zahteva odkupnino, običajno v kriptovaluti Bitcoin. Ob plačilu uporabnik pridobi digitalni ključ, ki je potreben za odklepanje datotek. Če uporabnik pred okužbo ni izdelal varnostnih kopij datotek, je potrebno plačilo odkupnine. V primeru, da žrtev odkupnine ne poravna, storilci izbrišejo ključ za dešifriranje podatkov.^[5] Petya vsebuje štiri segmente. Osnovni segment je zlonamerni črv, ki se s pomočjo Microsoftovih omrežnih orodij in orodij, ki so jih razvili v Ameriški obveščevalni agenciji (NSA), širi v lokalnih omrežjih. Drugi segment izsiljevalskega virusa šifrira osnovni zagonski odsek (MBR), da bi onemogočil pravilen zagon računalnika. Tretji segment skrbi za šifriranje različnih datotek, četrti pa krade uporabniška imena in gesla iz okuženega računalnika.^[6]

Zaščita

Za zaščito pred izsiljevalskimi programi je priporočljiva namestitev najnovejše različice operacijskega sistema in vklop samodejnih posodobitev sistema. Eden izmed pomembnih ukrepov je tudi varno shranjevanje varnostnih kopij podatkov oziroma datotek na ločenih zunanjih medijih. Priporočena je previdnost pri odpiranju prilog v elektronski pošti, iz naslovov, ki se zdijo nenavadni.^[7] Eden izmed ukrepov za zaščito je tudi namestitev uradnega popravka MS17-010, ki odpravi poznane hrošče oziroma ranljivosti CVE-2017-0144 (EternalBlue) ter CVE-2017-0145 (EternalRomance).^[8] Če pride do okužbe pa je najbolj pomembno, da se prepreči ponovni zagon operacijskega sistema, saj se v nasprotnem primeru prikaže izsiljevalsko sporočilo, ki poziva k plačilu odkupnine.^[9]

Napad

Najodmevnejši kibernetski napad z izsiljevalskim virusom Petya se je zgodil 27. Junija 2017. Okužba se je pojavila v Ukrajini in prizadela številne infrastrukture – elektrarne, letališča, javni promet in banke. Iz začetne točke okužbe v Ukrajini se je Petya hitro razširil prek povezanih poslovnih sistemov do mnogih drugih podjetij v Evropi in Rusiji. Okužba se je nato širila v omrežja drugih podjetij brez ustrezne zaščite. Zelo hitro se je virus pojavil še na Poljskem, Danskem, v Italiji, Veliki Britaniji, Nemčiji, Franciji in ZDA. Varnostna podjetja ocenjujejo, da je bilo okuženih približno dva tisoč podjetij v skupaj 64 državah, plačano pa naj bi bilo manj kot tri tisoč ameriških dolarjev odkupnin. Ukrajina je za kibernetski napad obtožila Rusijo, zaradi preteklih kibernetskih napadov, vključno z napadom na omrežje električne energije konec leta 2015, ki je začasno pustila del zahodne Ukrajine brez električne energije. Rusija je te obtožbe zanikala.^[10]

Petya&Marketing

Virus Petya je predstavnik nove generacije izsiljevalskih programov. Tudi ime Petya je del tržne strategije razvijalcev, katerega cilj je povečati prepoznavnost in priljubljenost na črnem trgu. Podobne tržne strategije za povečanje popularnosti virusov so že bile uporabljene v preteklosti. Virus Petya ima logotip v obliki piratske lobanje s kostmi.^[11]

Napadena podjetja

Med podjetja, ki so se okužila z virusom Petya sodijo različne korporacije in gospodarsko pomembne organizacije iz različnih držav. Nekatere med njimi so bile na primer: Rosfnet, največji ruski proizvajalec nafte, danski ladijski velikan A. P. Moller-Maersk, največja britanska svetovna oglaševalska družba WPP, Ruska centralna banka, Ukrajinske banke in elektroenergetska omrežja, Nemška poštna in logistična družba Deutsche Post in Ukrajinsko internacionalno letališče.^[12]

Glej tudi

• Ransomware
• Računalniški črv
• WannaCry
• Malware
• Računalnik
• Trdi disk
• Programska oprema

Viri

1. »Independent«. Petya Cyber attack: What is this ransomware and is it more dangerous than WannaCry?. Andrew Griffin. 27. junij 2017. Pridobljeno 25. januarja 2018.
2. »Intecracy«. Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1. avgust 2017. Arhivirano iz prvotnega spletišča dne 27. januarja 2018. Pridobljeno 25. januarja 2018.
3. »Avast blog«. Inside Petya and Mischa ransomware. Threat Intelligence Team. 20. september 2016. Pridobljeno 23. januarja 2018.
4. »Forbes«. How similar are WannaCry and Petya ransomware?. Quora. 5. julij 2017. Pridobljeno 23. januarja 2018.
5. »Intercracy«. Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1. avgust 2017. Arhivirano iz prvotnega spletišča dne 27. januarja 2018. Pridobljeno 24. januarja 2018.
6. »IKT informator«. Kaj je Petya, kaj naj bi bil njegov namen in kaj nas lahko nauči. Esad Jakupović. 1. julij 2017. Pridobljeno 25. januarja 2018.
7. »Intercracy«. Petya Ransomware and your IT security hygiene. Oleksandr Kyselevskyi. 1. julij 2017. Arhivirano iz prvotnega spletišča dne 27. januarja 2018. Pridobljeno 25. januarja 2018.
8. »Si.cert«. SI-CERT 2017-05 / Širjenje Petya/Petrwrap izsiljevalskega virusa. 27. junij 2017. Pridobljeno 26. januarja 2018.
9. »Računalniške novice«. Pozor, v Sloveniji razsaja nova izsiljevalska koda!. 28. junij 2017. Pridobljeno 25. januarja 2018.
10. »The Guardian«. 'Petya' ransomware attack: What is it and how can it be stopped?. Olivia Solon, Alex Hern. 28. junij 2017. Pridobljeno 24. januarja 2018.
11. »Intecracy«. Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1. avgust 2017. Arhivirano iz prvotnega spletišča dne 27. januarja 2018. Pridobljeno 24. januarja 2018.
12. »Independent«. 'Petya' cyber attack: List of affected companies shows scale of hack. Aatif Sulleyman. 27. julij 2017. Pridobljeno 24. januarja 2018.