Windows računari u Evropi napadnuti novim ransomwareom, inficirani i računari u elektrani u Černobilju

Opisi virusa, 28.06.2017, 01:30 AM

Windows računari u Evropi napadnuti novim ransomwareom, inficirani i računari u elektrani u Černobilju

Windows računari u Evropi su ovog trenutka napadnuti ransomwareom koji je izgleda sličan ransomwareu WannaCry. Stotine kompanija i organizacija su pogođene ovim novim talasom napada.

Iako se o tome spekulisalo, izgleda da nije u pitanju nova verzija ransomwarea WannaCry, već da je reč o novoj verziji ransomwarea Petya.

Windows računari u Evropi najteže su pogođeni ovim novim talasom napada, a to posebno važi za Ukrajinu u kojoj su državne institucije, centralna banka, kompanija Ukrenego koja snabdeva Ukrajinu električnom energijom, državna kompanija koja proizvodi avione, državni telekom, aerodrom u Kijevu i metro paralizovani zbog ovog napada.

Vesti o paralizovanim sistemima stižu i iz Velike Britanije, Holandije, Španije, Danske, Francuske, Italije, Poljske, SAD, Indije, Izraela, Belorusije i drugih zemalja. Danska transportna firma Maersk bila je prisiljena da obustavi rad svoja dva terminala u Roterdamu i još 15 terminala u drugim delovima sveta, a vest o tome potvrdila je sama kompanija na svom web sajtu. Lokalni mediji u Španiji izveštavaju da je ransomware napao brojne kompanije u ovoj zemlji, među kojima su i kompanije konglomerat Mondelez i velika advokatska firma DLA Piper. U Velikoj Briitaniji inficirani su računari marketing kompanije WPP, ali i mnogih drugih. Ni SAD nisu izbegle novi ransomware, a među prvim žrtvama je farmaceutski gigant Merck. U Francuskoj, kompanija Saint-Gobain, proizvođač građevinskih materijala, bila je primorana da prestane sa radom.

I ruski naftni gigant Rosneft priznao je da se dogodio incident, što dovodi u pitanje sumnje da je Rusija umešana u ovaj napad. Među žrtvama je i nuklearna elektrana u Černobilju, gde su svi Windows računari već ugašeni a inženjeri su prešli na manuelne sisteme za merenje radijacije.

U ovom trenutku, napad je nešto manjeg obima od napada ransomwarea WannaCry, ali su razmere napada ipak velike.

Kompanija Kaspersky Lab je saopštila da je napad do sada pogodio oko 2000 računara u oko desetak zemalja.

Prema tvrdnjama pojedinih istraživača, glavni krivac za napad je nova verzija ransomwarea Petya, koji se pojavio prošle godine. On šifruje MFT (Master File Tree) tabele za NTFS particije i prepisuje MBR (Master Boot Record) bootloaderom koji prikazuje obaveštenje o infekciji i otkupu i sprečava žrtve da pokrenu računare. Petya je opasniji od ransomwarea WannaCry jer ne samo da šifruje podatke, već preotima računare i sprečava ih da rade. Pojedini istraživači tvrde da se malver oslanja na ukradeni exploit američke Nacionalne bezbednosne agencije (NSA) ETERNALBLUE. Ovo su potvrdli Avira,a Emsisoft, Bitdefender, Symantec i druge kompanije i nezavisni istraživači. Oni kažu da bi kućni korisnici računara trebalo da budu bezbedni ako su instalirali sva ažuriranja za Windows. Međutim, ima naznaka da Petya ne koristi ETERNALBLUE, već drugi exploit ukraden od NSA, iako nema potvrde da je to tako.

Kako se Petya distribuira u ovom trenuku nije poznato. Postoje dve teorije - prema prvoj, Petya se širi preko spam emailova u formi Office dokumenata. Ovi dokumenti koriste CVE-2017-0199 Office RTF ranjivost za preuzimanje i pokretanje instalera ransomwarea, koji zatim izvršava SMS crva i širi se na nove računare u istoj mreži. Druga teorija je da se Petya širi preko malicioznog ažuriranja knjigovodstvenog softvera MEDOC koji je veoma popularana u Ukrajini.

Izveštaji iz različitih izvora govore da je Petya veoma virulentan, a neki i da je ransomware uspeo da zaključa stotine računara u istoj mreži za svega nekoliko minuta.

Međutim, analitiičari Kaspersky Laba se ne slažu sa tvrdnjama da iza napada stoji ransomware Petya. "Kaspersky Lab istražuje novi talas napada ransomwarea koji ciilja organizacije širom sveta. Naši preliminarni nalazi ukazuju na to da ovo nije verzija ransomwarea Petya kao što je izvešteno, već novi ransomware koji nikada ranije nije viđen", kažu iz Kaspersky Laba.

Ransomware od žrtava traži 300 dolara u bitcoinima. Do sada je nekoliko žrtava platilo otkup, pa su autori ransomwarea zaradili skoro 4900 dolara. To je značajna suma, jer je WannaCry ransomwareu bio potreban ceo dan da zaradi toliko.

WannaCry ransomware zaustavljen je "killswitch" mehanizmom, ali izgleda da to neće moći da se uradi sa ransomwareom Petya.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Svaki deseti korisnik macOS-a je imao susret sa malverom Shlayer

Iako se macOS smatra relativno sigurnim operativnim sistemom, sajber kriminalci ne odustaju od pokušaja da profitiraju od korisnika macOS-a. Dobar pr... Dalje

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke. F... Dalje

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Ruski ransomware Zeppelin napada evropske i američke kompanije, upozoravaju istraživači

Nova verzija ransomwarea VegaLocker (Buran) nazvana Zeppelin trenutno inficira računare u američkim i evropskim kompanijama, upozoravaju istraživa... Dalje