Firmy i instytucje w całej Europie stał się ofiarami ataku hackerów.

Najbardziej odczuły go firmy w Rosji i na Ukrainie. Jak podał na Twitterze ukraiński wicepremier, hakerzy unieruchomili również komputery rządowe.

 Hakerzy zaatakowali głównie firmy z branży finansowej – chodzi o wiele banków, do tego spółki telekomunikacyjne – na Ukrainie to kilku operatorów sieci komórkowych. Zaatakowano też koncerny paliwowe i energetyczne. Ofiarą padło równiez lotnisko w Kijowie i stołeczne metro. Poszkodowane są też firmy międzynarodowe – świadczące usługi spedycji czy z branż spożywczej i kosmetycznej.

Do ataku wykorzystano wirusa zwanego Petya, który blokuje komputery i domaga się wpłaty 300 dolarów w bitcoinach.

Aktualizacja [28.06.2017]

Najważniejsze informacje:


1. Aby uchronić się przed działaniem tej wersji robaka, stwórz plik “C:\Windows\perfc”. Zdania co do skuteczności tego rozwiązania są podzielone, ale posiadanie pliku nie zaszkodzi, nawet gdyby miał działać tylko na 1 wariant.

2. Jeśli włączy się wam program CHKDSK, szybko wyłączcie komputer! Petya wtedy zaczyna pracę. Jest szansa, że uratujecie jeszcze swoje pliki

3. Jeśli zostaliście zainfekowani, NIE PŁAĆCIE, atakujących odcięto od skrzynki. Nie zobaczą waszych wpłat i nie odeślą kluczy deszyfrujących.

4. Uwaga! Ofiarami mogą być także w pełni zaktualizowane Windowsy, bo Petya przechwytuje hasła administracyjne i próbuje przejąć kontrolę nad kontrolerami domeny, a następnie z tego poziomu się rozprzestrzenia na inne stacje robocze z wykorzystaniem PSEXEC i WMIC. Instrukcje jak zablokować te mechanizmy opisane są tutaj (w języku angielskim).

Polskie firmy również zainfekowane

Pierwsze ataki w Polsce nastąpiły po południu. Podobnie jak w innych krajach, celem ataku były przede wszystkim firmy z branży logistycznej. O ataku na swoje systemy poinformowało kilka firm, między innymi Raben, który wstrzymał operacje transportowe ze względu na „międzynarodowe zagrożenie wirusowe”. Wśród ofiar znalazły się również InterCars, TNT, Saint-Gobain i inne.

Petya atakuje aktualizowane Windowsy

Zainfekowane komputery miały łatki na WannaCry, a mimo to padły ofiarą. To sugeruje, że ransomware może wykorzystywać nową podatność, która była łatana późniejszymi niż MS17-010 łatkami.

Co ciekawe, dyski zewnętrzne i dodatkowe, nie są szyfrowane.

Atak o zasięgu światowym

Atak rozpoczął się od Ukrainy. Tam zaszyfrowane zostały komputery banków, operatorów telekomunikacyjnych i inne.

Poszkodowane są również firmy rosyjskie, m.in. Rosneft, a także firmy z Hiszpanii, Holandii i USA.

Aktualizacja [30.06.2017]

Zła wiadomość dla zainfekowanych. Wygląda na to, że NotPetya (tak zaczęto nazywać to zagrożenie) to nie ransomware, a viper. Niektórzy badacze twierdzą, że nadpisuje on bezpowrotnie początkowe sektory dysku.

Zdaniem badaczy z Kaspersky Lab:


We have analyzed the high-level code of the encryption routine and determined that after disk encryption, the threat actor could not decrypt victims’ disks. To decrypt, the threat actors need the installation ID. In previous versions of seemingly similar ransomware such as Petya/Mischa/GoldenEye, this installation ID contained the information necessary for key recovery. ExPetr (aka NotPetya) does not have that installation ID, which means that the threat actor could not extract the necessary information needed for decryption. In short, victims could not recover their data.

Oznacza to, że NotPetya ma błąd, którego nie wykryli autorzy, albo celem ataku nie było zarobienie na okupie, a zniszczenie danych.

Jedynym rozwiązaniem pozostaje zatem odzyskanie danych z ostatniej poprawnej kopii zapasowej.