Izsiljevalski virus že v Sloveniji

Izsiljevalski virus že v Sloveniji

-
0 566

Podjetja po vsem svetu poročajo o hekerskem napadu z izsiljevalskim virusom Petrwrap/Petja. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry. Od kod izvira virus, še ni znano, saj je skoraj neizsledljiv, a domneva se, da izvira iz Ukrajine. Na odzivnem centru Si-CERT so danes okoli 11. ure dobili prvo prijavo okužbe z novim izsiljevalskim virusom.

Širi se prek e-pošte

Virus Petja je po poročanju tujih medijev skrit v dokumentu, ki se širi prek elektronskih sporočil. Gre za podoben napad, ki ga je svet doživel prejšnji mesec z virusom Wannacry.

”Virus se širi tako po elektronski pošti kot RTF priponka (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199, po okužbi pa skuša okužiti sisteme na lokalnem omrežju preko ranljivosti MS17-010 in z uporabo funkcionalnosti WMI (Windows Management Instrumentation). Po okužbi zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR) in ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo,” so sporočili iz slovenskega odzivnega centra SI-CERT.

Izsiljevalski virus po njihovih navedbah vsebuje funkcionalnost t.i. črva, ki se lahko samodejno širi po omrežju. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry.

”Tokratni virus se poleg izkoriščanja omenjene Windows ranljivosti, širi tudi prek elektronske pošte z okuženimi priponkami ter v lokalnem omrežju z uporabo funkcionalnosti WMIC/PsExec. Če ima okužen računalnik pravice tudi na drugih računalnikih v omrežju, virus zašifrira datoteke tudi tam, čeprav so računalniki redno posodobljeni.”

Če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostnih kopij. V primeru, da varnostnih kopij nimate, kontaktirajte nacionalni center SI-CERT na elektronski naslov cert@cert.si. Plačilo odkupnine trenutno ni smiselno, saj je elektronski naslov napadalca že blokiran.

Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam okužbe na SI-CERT svetujejo preventivno menjavo vseh gesel, ki bi lahko bila ukradena.

Na spletu je sicer najti informacije, da se zagon virusa lahko ustavi s kreiranjem datoteke c:Windowsperfc, vendar jih na SI-CERT trenutno ne moremo z gotovostjo potrditi in ta ukrep še preverjamo. (24ur.com)