Windows računari u Evropi napadnuti novim ransomwareom, inficirani i računari u elektrani u Černobilju

Opisi virusa, 28.06.2017, 01:30 AM

Windows računari u Evropi napadnuti novim ransomwareom, inficirani i računari u elektrani u Černobilju

Windows računari u Evropi su ovog trenutka napadnuti ransomwareom koji je izgleda sličan ransomwareu WannaCry. Stotine kompanija i organizacija su pogođene ovim novim talasom napada.

Iako se o tome spekulisalo, izgleda da nije u pitanju nova verzija ransomwarea WannaCry, već da je reč o novoj verziji ransomwarea Petya.

Windows računari u Evropi najteže su pogođeni ovim novim talasom napada, a to posebno važi za Ukrajinu u kojoj su državne institucije, centralna banka, kompanija Ukrenego koja snabdeva Ukrajinu električnom energijom, državna kompanija koja proizvodi avione, državni telekom, aerodrom u Kijevu i metro paralizovani zbog ovog napada.

Vesti o paralizovanim sistemima stižu i iz Velike Britanije, Holandije, Španije, Danske, Francuske, Italije, Poljske, SAD, Indije, Izraela, Belorusije i drugih zemalja. Danska transportna firma Maersk bila je prisiljena da obustavi rad svoja dva terminala u Roterdamu i još 15 terminala u drugim delovima sveta, a vest o tome potvrdila je sama kompanija na svom web sajtu. Lokalni mediji u Španiji izveštavaju da je ransomware napao brojne kompanije u ovoj zemlji, među kojima su i kompanije konglomerat Mondelez i velika advokatska firma DLA Piper. U Velikoj Briitaniji inficirani su računari marketing kompanije WPP, ali i mnogih drugih. Ni SAD nisu izbegle novi ransomware, a među prvim žrtvama je farmaceutski gigant Merck. U Francuskoj, kompanija Saint-Gobain, proizvođač građevinskih materijala, bila je primorana da prestane sa radom.

I ruski naftni gigant Rosneft priznao je da se dogodio incident, što dovodi u pitanje sumnje da je Rusija umešana u ovaj napad. Među žrtvama je i nuklearna elektrana u Černobilju, gde su svi Windows računari već ugašeni a inženjeri su prešli na manuelne sisteme za merenje radijacije.

U ovom trenutku, napad je nešto manjeg obima od napada ransomwarea WannaCry, ali su razmere napada ipak velike.

Kompanija Kaspersky Lab je saopštila da je napad do sada pogodio oko 2000 računara u oko desetak zemalja.

Prema tvrdnjama pojedinih istraživača, glavni krivac za napad je nova verzija ransomwarea Petya, koji se pojavio prošle godine. On šifruje MFT (Master File Tree) tabele za NTFS particije i prepisuje MBR (Master Boot Record) bootloaderom koji prikazuje obaveštenje o infekciji i otkupu i sprečava žrtve da pokrenu računare. Petya je opasniji od ransomwarea WannaCry jer ne samo da šifruje podatke, već preotima računare i sprečava ih da rade. Pojedini istraživači tvrde da se malver oslanja na ukradeni exploit američke Nacionalne bezbednosne agencije (NSA) ETERNALBLUE. Ovo su potvrdli Avira,a Emsisoft, Bitdefender, Symantec i druge kompanije i nezavisni istraživači. Oni kažu da bi kućni korisnici računara trebalo da budu bezbedni ako su instalirali sva ažuriranja za Windows. Međutim, ima naznaka da Petya ne koristi ETERNALBLUE, već drugi exploit ukraden od NSA, iako nema potvrde da je to tako.

Kako se Petya distribuira u ovom trenuku nije poznato. Postoje dve teorije - prema prvoj, Petya se širi preko spam emailova u formi Office dokumenata. Ovi dokumenti koriste CVE-2017-0199 Office RTF ranjivost za preuzimanje i pokretanje instalera ransomwarea, koji zatim izvršava SMS crva i širi se na nove računare u istoj mreži. Druga teorija je da se Petya širi preko malicioznog ažuriranja knjigovodstvenog softvera MEDOC koji je veoma popularana u Ukrajini.

Izveštaji iz različitih izvora govore da je Petya veoma virulentan, a neki i da je ransomware uspeo da zaključa stotine računara u istoj mreži za svega nekoliko minuta.

Međutim, analitiičari Kaspersky Laba se ne slažu sa tvrdnjama da iza napada stoji ransomware Petya. "Kaspersky Lab istražuje novi talas napada ransomwarea koji ciilja organizacije širom sveta. Naši preliminarni nalazi ukazuju na to da ovo nije verzija ransomwarea Petya kao što je izvešteno, već novi ransomware koji nikada ranije nije viđen", kažu iz Kaspersky Laba.

Ransomware od žrtava traži 300 dolara u bitcoinima. Do sada je nekoliko žrtava platilo otkup, pa su autori ransomwarea zaradili skoro 4900 dolara. To je značajna suma, jer je WannaCry ransomwareu bio potreban ceo dan da zaradi toliko.

WannaCry ransomware zaustavljen je "killswitch" mehanizmom, ali izgleda da to neće moći da se uradi sa ransomwareom Petya.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje