A májusban terjedő WannaCry kapcsán megismert sebezhetőséget kihasználva terjed Európában és szerte a világban a Petya zsarolóvírus – melyről az első jelentéseket korábban a G DATA nemzetközi blogjából ismerhetett meg a világ.
A folyamatosan frissülő jelentések szerint több multinacionális nagyvállalat érintett a támadásban, számuk 80 körül lehet. A Petya zsarolóvírust a WannaCry kapcsán megismert Eternal Blue sebezhetőség segítségével terjesztik a bűnözők. A Microsoft már kijavította a szóba forgó hibát, de ezek szerint a WannaCry zsarolóvírus keltette hangulat sem elegendő ahhoz, hogy a hibajavítást időben telepítsék a vállalatok.
Technikai adatok
A most terjedő változatot a G DATA összes megoldása a Win32.Trojan-Ransom.Petya.V és a Trojan.Ransom.GoldenEye.B. neveken azonosítja. Az eddigi adatok szerint a Petya sokkal jobban képes terjedni Windows XP-n, mint a WannaCry. A májusban terjedő változattól eltérően a mostani kitöröli a Windows naplózást a fertőzés folyamata során.
A zsarolóvírus a következő kiterjesztésű fájlokat célozza meg:
.3ds .7z .accdb. ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk
.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt
.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.
.xlsx .xvd .zip
Ukrajna kritikus infrastruktúrájának egyes részeit komolyan érintette a támadás. A frissítés írásának időpontjában (június 27., 18:15) Kijev repülőterét lezárták. A Rosneft olaj vállalat és az acélgyártó Evraz elismerték, hogy érintettek a támadásban. Sok szupermarketben a fizető terminálok használhatatlanok a támadás miatt. Jelentések érkeztek Európa többi részéről is (Nagy-Britannia, Franciaország), hogy megtörténtek az első fertőzések. Az Index értesülései szerint magyar vállalatok is érintettek a támadásban.
Ahogy az várható volt, egyes fertőzött számítógép tulajdonosok kifizették a zsarolópénzt. A G DATA az tanácsolja, ne fizessünk a zsarolóknak, hiszen ezzel tovább támogatjuk tevékenységüket.
Lezárták a támadók email postaládáját
Amiután a Posteo értesült arról (június 27-én, 19:30 körül), hogy szolgáltatásukat használják a támadók emailek fogadására, lezárták a email fiókhoz a hozzáférést, értesítették a hatóságokat. A támadók nem juthatnak be a postaládába, de üzeneteket sem lehet küldeni a szóban forgó email címre.
A G Data nemzetközi blogján folyamatosan frissülnek az adatok, látogassanak el ide az újabb fejleményekért.