„Petwrap“ se širi eksploatacijom poznate SMB ranjivosti koja je korišćenja za širenje „WannaCry“ ransomvera, koji je u roku od 72 sata zarazio preko 300 000 računara. Ovaj virus koristi modifikovani alat „EternalBlue“, navodno kreiran od strane NSA, i dva alata za „Windows“„ WMIC“ i „PsExec“.
Za razliku od „WannaCry“ koji je ciljao neažurne verzije „Petwrap“ ima mogućnosti napada i na računare sa ažurnim verzijama softvera. Dovoljno je da je samo jedan računar na mreži ranjiv na SMB ranjivost da se zarazi kompletna mreža ažurnih računara.
„Petwrap“ je već zarazio računare u ruskoj naftnoj kompaniji „Rosneft“, kompanije za distribuciju električne energije iz Ukrajine „Kyivenergo“ i „Ukrenergo“, „Boryspil“ aerodrom u Kijevu i desetine banaka, telekomunikacionih i transportnih kompanije širom svijeta.
„Petya“ za razliku od drugih ransomvera ne enkriptuje pojedinačne datoteke. Ovaj ransomver enkriptije MFT (Master File Table) hard diska i onemogućava pristup MBR (Master Boot Record) zaključavajući informacije o imenima, veličinama i lokacijama datoteka na fizičkom disku.
Nakon inicijalne infekcije „Petya“ restartuje računar i pokreće lažni CHKDSK proces ( proces koji „Windows“ računari koriste kako bi provjerili da li se na hard disku nalaze oštećene datoteke) koji enkriptuje podatke.
Iako do sada nisu prijavljene infekcije ove vrste unutar kibernetičkog prostora Republike Srpske, ukoliko se iste uoče, preporučujemo sljedeće korake:
U slučaju restartovanja i pokretanja CHKDSK procesa prekinite dovod napajanja do računara.
Privremeno isključite „WMIC“ (Windows Management Instrumentation Command-line) koji „Petwrap“ koristi da inficira i računara se ažurnim softverom.
Poželjno je blokiranje „PsExec“ alata na korisničkim računarima.
Obavezno primijenite ažuriranje MS17-010 (link is external), objavljeno od strane „Microsoft“ 14. marta ove godine.
Blokirajte eksterni pristup TCP portovima 139 i 445.
Obavijestiti CERT Republike Srpske putem e-mail adrese oib-cert@aidrs.org (link sends e-mail) ili putem veb stranice https://oib.aidrs.org
NE PLAĆATI „bitcoin“ otkupninu (oko 300 USD) jer ista ne garantuje povrat podataka. Poruke koje zahtijevaju otkupninu korisnike upućuju na e-mail adresu wowsmith123456[@]posteo[.]net koju je njemački e-mail provajder „Posteo“ onemogućio tako da napadač nema način da vam pošalje dekripcione ključeve.
Ne otvarajte e-mail poruke nepoznatih pošiljaoca, pored toga obratite pažnju na „Excel“ dokumente koje možete dobiti u e-mail porukama, jer su zabilježeni slučajevi širenja virusa eksploatacijom CVE-2017-0199 ranjivosti u „Microsoft Excel“.
Napravite „backup“ najbitnijih podataka.
OIB – CERT Republike Srpske vrši aktivan nadzor nad širenjem ove infekcije i o eventualnim pojavama „Petwrap“ ransomvera u kibernetičkom prostoru Republike Srpske, sa preporukama u vezi sanacije štete obavijestićemo javnost.
Frontal
