Specjaliści od cyberbezpieczeństwa pierwszą aktywność Petyi wykryli w popularnym na Ukrainie oprogramowaniu. To narzędzie o nazwie M.E.DOC. Firma, która jest właścicielem programu, potwierdza, że padła ofiarą wirusa.

– Przestępcy wykorzystali popularne wśród instytucji finansowych na Ukrainie oprogramowanie M.E.Doc. Kilka z nich pobrało aktualizacje zarażone trojanem, co umożliwiło hakerom atak na szeroką skalę z wykorzystaniem nieświadomych tego organizacji – wyjaśnia Lipovsky.

Firma M.E.Doc wydała specjalny komunikat, w którym ostrzega swoich użytkowników.

Dyrektorka Australian Centre for Cyber Security, profesor Jill Slay, potwierdza w serwisie abc.net.au, że Petya jest ze Wschodu:

– Miejscem powstania tego ransomware jest prawdopodobnie Ukraina. Oryginalne maile zarażone złośliwym kodem były napisane po rosyjsku i ukraińsku – zaznacza prof. Slay. – Wirus pod postacią złośliwych instrukcji przenosi się wraz z plikami Worda lub PDF. Program przejmuje kontrolę nad systemem Windows, szyfrując pliki, a przestępcy żądają pieniędzy – wyjaśnia.

Robert Lipovsky uzupełnia, że wyłączenie zainfekowanego komputera i nieuruchamianie go może zapobiec zaszyfrowaniu dysku przez Petyę. Część plików może jednak zostać zablokowanych, a MBR dysku zmodyfikowany.

Kaspersky na swojej stronie zaleca, aby:

1. Nie wyłączać oprogramowania antywirusowego.

2. Natychmiast, ręcznie, zaktualizować bazy wirusów programu.

3. Sprawdzać dostępność takich aktualizacji kilka razy w ciągu dnia.

4. Jako dodatkowe zabezpieczenie za pomocą AppLockera wyłączyć wykonywanie pliku o nazwie perfc.dat oraz PSExec, będącego częścią Sysinternal Suite.

5. Zaktualizować Windows, szczególnie jeśli chodzi o łatkę MS17-010.

Okazuje się, że Petya mutuje dość szybko. Stwierdzono obecność nowej wersji, nazwanej GoldenEye, która nie tyle szyfruje wybrane pliki na dysku, ile całą zawartość dysku. Dane na temat tej wersji zagrożenia pochodzą od firmy BitDefender.

Szkodnik Petya atakuje w wielu krajach komputery z systemem Windows.

Źródło: chip.pl

Polecane: