Nie pomoże nawet zaktualizowany Windows 10 – ransomware Petya atakuje również Polskę (aktualizacja)

News/Bezpieczeństwo 28.06.2017
Nie pomoże nawet zaktualizowany Windows 10 – ransomware Petya atakuje również Polskę (aktualizacja)

Nie pomoże nawet zaktualizowany Windows 10 – ransomware Petya atakuje również Polskę (aktualizacja)

Uwaga, mamy problem. Co prawda użytkownicy indywidualni, którzy aktualizują na bieżąco komputery mogą raczej spać spokojnie, ale firmy już niekoniecznie. Dlaczego? Ransomware Petya sprytnie wykorzystuje typowe mechanizmy firmowe, by ominąć zabezpieczenia. W tym w Polsce.

AKTUALIZACJA: Publikacja została zaktualizowana o informacje dotyczące źródła ataku oraz sposobu, jak się przed nim zabezpieczyć. Nowe informacje są na końcu wpisu.

Już nie tylko Ukraina ma problem z ransomware o nazwie Petya. Szkodnik atakuje komputery z Windows równie zawzięcie, co niedawny groźny WannaCry i rozprzestrzenia się po Polsce. Jest jednak pewna zasadnicza różnica pomiędzy WannaCry a Petyą.

Pierwszy ze złośników wykorzystywał lenistwo użytkowników i administratorów nieaktualizujących swojego oprogramowania. Tymczasem Petya został już odnaleziony na w pełni zaktualizowanych komputerach z najnowszą wersją Windows 10 na pokładzie.

Petya infekuje komputery z Windows 10 – czy jestem bezpieczny?

Jeżeli używasz domowej wersji Windows, nie korzystasz z żadnej firmowej sieci i masz na pokładzie zainstalowane aktualną wersję systemu Microsoftu ze wszystkimi łatkami, najpewniej jesteś bezpieczny. Informacje na temat Petya nadal nie są solidne, więc nie możemy tu użyć wyrażenia „na pewno”, jednak nie ma żadnych informacji na temat włamania na urządzenia tego typu.

Jeśli chodzi o komputery firmowe, tu mamy ciut inną sytuację, o czym poinformował Niebezpiecznik i co potwierdziliśmy również samodzielnie poprzez firmy, które się do nas zgłosiły z problemem. Czym się różnią załatane komputery firmowe od tych domowych? Te pierwsze bardzo często bywają podpięte do domeny poprzez Active Directory. Załatane komputery w pełni ufają zainfekowanemu przez Petya firmowemu serwerowi, w tym przesyłanemu przez niego infekującemu kodowi.

Petya zainfekował mój komputer – jak się ratować?

Opłacenie okupu przestało być możliwe z uwagi na fakt, że dostawca pocztowy wykorzystywany przez cyberprzestępców w sposób niezbyt rozgarnięty zablokował im skrzynkę pocztową, jak donosi Niebezpiecznik. Dylemat moralny w postaci „opłacić przestępców ale odzyskać dane” znika siłą rzeczy.

Petya jest rozpoznawany przez skaner antywirusowy Windows, przy założeniu, że ten był aktualizowany na bieżąco. Większość alternatywnych rozwiązań antywirusowych również już zna tego szkodnika. Należy, dla pewności, wykonać pełen skan systemu operacyjnego za pomocą dowolnego z powyższych rozwiązań.

Jeżeli jest już za późno, a twój komputer nie działa domagając się okupu… cóż, nie mamy dla ciebie dobrych wieści.

Nie jesteś już w stanie nawet zapłacić tego okupu. Pozostaje trzymać kciuki, że ktoś złamie szyfrowanie tego ransomware lub odnajdzie klucz deszyfrujący, nikt jednak nie jest w stanie wam tego zagwarantować.

Osoby, które wyszły z tego kryzysu bez szwanku, powinny zacząć myśleć nad rozwiązaniem wykonującym kopię zapasową istotnych danych, jeżeli jeszcze tego nie zrobiły. Takie rozwiązanie oferuje system Windows poprzez usługę OneDrive, można też wykorzystać alternatywnego dostawcę tego typu mechanizmów.

Aktualizacja #1: jak się zabezpieczyć?

Wygląda na to, że istnieje prosta metoda na zabezpieczenie się przed atakiem ze strony tej nowej odmiany Petya. W folderze głównym systemu Windows (zazwyczaj jest to C:\Windows przy domyślnych ustawieniach instalacji) należy stworzyć pusty plik o nazwie “perfc” (bez żadnego rozszerzenia). Petya go tworzy podczas działania, nie jest jednak w stanie odpowiednio zareagować jeśli ten już istnieje i przerywa swoją pracę. Warto jednak pamiętać, że może pojawić się kolejna, “załatana” odmiana szkodnika, która omija tę przeszkodę. Ów pusty, niepowiązany z niczym plik nie wpłynie jednak na higienę systemu, a jego stworzenie zajmie nam raptem kilka, kilkanaście sekund.

Aktualizacja #2: źródło ataku

Przedstawiciel firmy Eset skontaktował się ze Spider’s Web, by podzielić się odkryciem źródła tej epidemii, którego dokonał przedstawiciel tejże firmy. Tym źródłem jest zainfekowany instalator aplikacji M.E.Doc, która jest popularnym na Ukrainie rozwiązaniem do prowadzenia księgowości. Cyberprzestępcy podmienili na serwerach producenta instalatory tego oprogramowania na “zaktualizowane” o Petyę, doprowadzając do infekcji która szybko wykroczyła poza granice tego kraju.

Czytaj również:

Dołącz do dyskusji

Advertisement