Megállíthatatlannak látszik a Petya: a zsarolóvírus kedden néhány óra alatt megfertőzött több ukrán vállalati hálózatot, majd holland, brit, indiai és amerikai rendszereket is letarolt.
A májusban 300 ezer számítógépet megfertőző Wannacryhoz hasonlóan a Petya is titkosítja a megtámadott gép mappáit, és a nyomon sem követhető bitcoinban 300 dollárt kér a feloldásért – az új zsarolóvírus azonban fejlettebb elődjénél. Nemcsak az adatokat kódolja, hanem az elért gép teljes merevlemezét is, eközben jelszavakat is keres, amelyeket felhasználva – távoli hozzáférés segítségével – más hálózatokba is beléphet az alapgépről, átvéve az ottani adminjogokat.
A vírus épít az NSA-től kiszivárgott biztonsági résre, a frissítési problémákból adódó EternalBlue-ra is, de újdonság, hogy a Wannacrytól eltérően a naprakészen frissített PC-ket is támadja; hatékonysága, a belső vészleállító funkciók hiánya arra utal, hogy nemcsak kísérleti programról, hanem profi kiberfegyverről van szó, amelyet kellő anyagi támogatással – valószínűleg alvilági befektetők segítségével – hozott létre egy hekkercsapat – írja a Forbes cikkét szemléző Index.
Egy módszer azonban mégis lehet a Petya megfékezésére: Amit Serper, a Cybereason biztonsági szakértője talált a Petya kapcsán egy olyan jellegzetességet, amellyel a fertőzések megakadályozhatók lehetnek – mutat rá a Biztonságportál.hu.
Serper arra figyelt fel, hogy a vírus még fertőzés előtt a helyi meghajtón ellenőrzi egyes fájlok meglétét, és ha ezeket megtalálja, akkor nem kezd neki a titkosításnak, azaz a fájlok lerombolásának. Ezzel pedig megelőzhetővé válhatnak a károk.
A kártékony program keddi variánsa tulajdonképpen azt ellenőrzi, hogy az adott rendszeren lévő Windows könyvtárban megtalálhatók-e olyan fájlok, amelyek a nevükben a „perfc” kifejezést tartalmazzák.
Ha igen, akkor a károkozó leáll. E felfedezést követően nyilvánvalóvá vált a megoldás: létre kell hozni ilyen fájlokat a Windows mappában. Ehhez létezik egy batch fájl, illetve manuálisan is meg lehet tenni. A lényeg, hogy a létrehozott állományokat „csak olvasható” attribútummal kell ellátni. Ez a megoldás ugyanakkor csak a Petya egy variánsára megfelelő, újabb változatoknál már nem biztos, hogy működni fog.
Ukrajnában hétfőn több stratégiai fontosságú intézmény, köztük a kijevi Boriszpil nemzetközi repülőtér fő szerverét is megfertőzte a zsarolóvírus. A kormány keddi kiadott közleménye szerint a kibertámadást sikerült a szakembereknek leállítaniuk, a vírus nem terjed tovább, és a megtámadott állami és kereskedelmi vállalatoknál jelenleg már az elveszett adatok helyreállításán dolgoznak.
Az helyi kiberrendőrség szerint a Petya nevű zsarolóvírus áldozatául esettek közül eddig már mintegy kétszázan jelentkeztek a hatóság forródrótos segélyvonalán. A támadást a hackerek az M.E.doc adatszolgáltatási és iratkezelési programon keresztül hajtották végre. A program rendszeres időközönként frissítést kér, és ha ezt végrehajtják, a vírus telepíti magát. A hatóságok ezért azt javasolták, hogy a frissítéskérést utasítsák vissza az ilyen programmal rendelkezők a számítógépükön. Az M.E.doc. könyvelési program készítői az UNIAN ukrán hírügynökség szerint viszont azt állítják, hogy a vírus nem ezen keresztül hatolt be a számítógépekbe, mert a legutóbbi frissítéskérést még június 22-én, azaz a támadás előtt öt nappal küldte a program.
Petya támadását figyelemmel kísérik a magyar hatóságok is: a Nemzeti Kibervédelmi Intézet (NKI) kedden –egy nappal a fertőzés globális kitörése után – riasztást adott ki a PetrWrap zsarolóvírus növekvő fertőzési mutatói miatt, amelyben a történtekről és a lehetséges megelőző tevekénységekről tájékoztatta a kormányzati szerveket.
A támadási hullámmal összefüggésben ugyanakkor még nem jelezték az NKI-nek, hogy magyar kormányzati rendszereket is megfertőztek volna - jelezte a Belügyminisztérium.
