Petya

Iz Wikipedije, proste enciklopedije
Jump to navigation Jump to search

Petya je ransomware (izsiljevalski program), ki ogroža računalnike z operacijskim sistemom Microsoft Windows. Virus na okuženem računalniku zašifrira datoteke in s tem uporabniku onemogoči dostop do podatkov. V zameno za plačilo v kriptovaluti Bitcoin, uporabniku omogoči povrnitev zašifriranih podatkov.[1]


Začetek[uredi | uredi kodo]

Virus Petya se je prvič pojavil marca 2016. Podjetje Check Point Software Technologies Ltd. je izpostavilo dejstvo, da virus Petya deluje drugače kot drugi izsiljevalski programi. Za razliko od ostalih, virus Petya na kontaminiranem računalniku preko pomnilnika poišče gesla iz pomnilnika ali iz datotečnega sistema, ki omogočijo širitev virusa na druge sisteme. Petya izrablja tudi sistemsko orodje PsExec preko katerega širi okužbo z uporabo zlonamernih kod na druge računalnike. Na primer, če ima okužen računalnik skrbniški dostop do omrežja, lahko virus okuži vse računalnike v istem omrežju. Virus Petya je bil označen kot naslednji korak v razvoju ransomware-ov. Program je zahteval 0,9 Bitcoina za obnovitev dostopa do datotek uporabnika (takrat 380 USD).[2] Maja 2016 se je pojavila tudi druga različica programa, ki se imenuje Mischa. Mischa deluje skupaj z virusom Petya, združujeta pa ju dva različna načina šifriranja podatkov. Petya zašifrira MFT (Master File Table) in MBR (Master Boot Record).[3] V primeru, da Petya nima dostopa do MBR na trdem disku, se razširi Mischa, ki šifrira datoteke uporabnika z uporabo ključa RSA-2048, nato pa zahteva odkupnino v višini 1,93 Bitcoina (takrat 875 USD).[4]

Delovanje[uredi | uredi kodo]

V primeru okužbe, ransomware šifrira pomembne dokumente in datoteke in nato zahteva odkupnino, običajno v kriptovaluti Bitcoin. Ob plačilu uporabnik pridobi digitalni ključ, ki je potreben za odklepanje datotek. Če uporabnik pred okužbo ni izdelal varnostnih kopij datotek, je potrebno plačilo odkupnine. V primeru, da žrtev odkupnine ne poravna, storilci izbrišejo ključ za dešifriranje podatkov.[5] Petya vsebuje štiri segmente. Osnovni segment je zlonamerni črv, ki se s pomočjo Microsoftovih omrežnih orodij in orodij, ki so jih razvili v Ameriški obveščevalni agenciji (NSA), širi v lokalnih omrežjih. Drugi segment izsiljevalskega virusa šifrira osnovni zagonski odsek (MBR), da bi onemogočil pravilen zagon računalnika. Tretji segment skrbi za šifriranje različnih datotek, četrti pa krade uporabniška imena in gesla iz okuženega računalnika.[6]

Zaščita[uredi | uredi kodo]

Za zaščito pred izsiljevalskimi programi je priporočljiva namestitev najnovejše različice operacijskega sistema in vklop samodejnih posodobitev sistema. Eden izmed pomembnih ukrepov je tudi varno shranjevanje varnostnih kopij podatkov oziroma datotek na ločenih zunanjih medijih. Priporočena je previdnost pri odpiranju prilog v elektronski pošti, iz naslovov, ki se zdijo nenavadni.[7] Eden izmed ukrepov za zaščito je tudi namestitev uradnega popravka MS17-010, ki odpravi poznane hrošče oziroma ranljivosti CVE-2017-0144 (EternalBlue) ter CVE-2017-0145 (EternalRomance).[8] Če pride do okužbe pa je najbolj pomembno, da se prepreči ponovni zagon operacijskega sistema, saj se v nasprotnem primeru prikaže izsiljevalsko sporočilo, ki poziva k plačilu odkupnine.[9]

Napad[uredi | uredi kodo]

Najodmevnejši kibernetski napad z izsiljevalskim virusom Petya se je zgodil 27. Junija 2017. Okužba se je pojavila v Ukrajini in prizadela številne infrastrukture – elektrarne, letališča, javni promet in banke. Iz začetne točke okužbe v Ukrajini se je Petya hitro razširil prek povezanih poslovnih sistemov do mnogih drugih podjetij v Evropi in Rusiji. Okužba se je nato širila v omrežja drugih podjetij brez ustrezne zaščite. Zelo hitro se je virus pojavil še na Poljskem, Danskem, v Italiji, Veliki Britaniji, Nemčiji, Franciji in ZDA. Varnostna podjetja ocenjujejo, da je bilo okuženih približno dva tisoč podjetij v skupaj 64 državah, plačano pa naj bi bilo manj kot tri tisoč ameriških dolarjev odkupnin. Ukrajina je za kibernetski napad obtožila Rusijo, zaradi preteklih kibernetskih napadov, vključno z napadom na omrežje električne energije konec leta 2015, ki je začasno pustila del zahodne Ukrajine brez električne energije. Rusija je te obtožbe zanikala.[10]

Petya&Marketing[uredi | uredi kodo]

Virus Petya je predstavnik nove generacije izsiljevalskih programov. Tudi ime Petya je del tržne strategije razvijalcev, katerega cilj je povečati prepoznavnost in priljubljenost na črnem trgu. Podobne tržne strategije za povečanje popularnosti virusov so že bile uporabljene v preteklosti. Virus Petya ima logotip v obliki piratske lobanje s kostmi.[11]

Napadena podjetja[uredi | uredi kodo]

Med podjetja, ki so se okužila z virusom Petya sodijo različne korporacije in gospodarsko pomembne organizacije iz različnih držav. Nekatere med njimi so bile na primer: Rosfnet, največji ruski proizvajalec nafte, danski ladijski velikan A. P. Moller-Maersk, največja britanska svetovna oglaševalska družba WPP, Ruska centralna banka, Ukrajinske banke in elektroenergetska omrežja, Nemška poštna in logistična družba Deutsche Post in Ukrajinsko internacionalno letališče.[12]

Glej tudi[uredi | uredi kodo]

Viri[uredi | uredi kodo]

  1. "Independent". Petya Cyber attack: What is this ransomware and is it more dangerous than WannaCry?. Andrew Griffin. 27.6.2017. Pridobljeno dne 25.1.2018. 
  2. "Intecracy". Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1.8.2017. Pridobljeno dne 25.1.2018. 
  3. "Avast blog". Inside Petya and Mischa ransomware. Threat Intelligence Team. 20.9.2016. Pridobljeno dne 23.1.2018. 
  4. "Forbes". How similar are WannaCry and Petya ransomware?. Quora. 5.7.2017. Pridobljeno dne 23.1.2018. 
  5. "Intercracy". Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1.8.2017. Pridobljeno dne 24.1.2018. 
  6. "IKT informator". Kaj je Petya, kaj naj bi bil njegov namen in kaj nas lahko nauči. Esad Jakupović. 1.7.2017. Pridobljeno dne 25.1.2018. 
  7. "Intercracy". Petya Ransomware and your IT security hygiene. Oleksandr Kyselevskyi. 1.7.2017. Pridobljeno dne 25.1.2018. 
  8. "Si.cert". SI-CERT 2017-05 / Širjenje Petya/Petrwrap izsiljevalskega virusa. 27.6.2017. Pridobljeno dne 26.1.2018. 
  9. "Računalniške novice". Pozor, v Sloveniji razsaja nova izsiljevalska koda!. 28.6.2017. Pridobljeno dne 25.1.2018. 
  10. "The Guardian". 'Petya' ransomware attack: What is it and how can it be stopped?. Olivia Solon, Alex Hern. 28.6.2017. Pridobljeno dne 24.1.2018. 
  11. "Intecracy". Some history and analytics about Petya and Mischa. Oleksandr Kyselevskyi. 1.8.2017. Pridobljeno dne 24.1.2018. 
  12. "Independent". 'Petya' cyber attack: List of affected companies shows scale of hack. Aatif Sulleyman. 27.7.2017. Pridobljeno dne 24.1.2018.