Nová epidemie ransomwaru tentokrát ohrozila i Česko

28. 6. 2017

Sdílet

 Autor: Fotolia © leowolfert
Nový vyděračský malware útočí hlavně na větší firmy – ohrožený je tak bankovní sektor, energetické či poštovní společnosti. Podle některých expertů jde o zcela nový malware, jiní poukazují na nápadnou podobnost s dřívějším ransomwarem Petya.

Podle Esetu například Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech.

Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně České republiky. Ta byla při vrcholu nákazy na deváté příčce žebříčku nejvíce zasažených států.

Rozsah škod způsobených novým typem ransomware ještě nebyl potvrzen, experti včera nezaznamenali žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve u nechvalně proslulého malware Industroyer.

Útok se ale rozhodně nesoustředí jen na několik vybraných zemí, postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP.

„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik Esetu. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.

Také experti firmy Check Point potvrzují pravděpodobnou podobnost s ransomwarem Petya, který namísto šifrování jednotlivých souborů rovnou zašifruje celý pevný disk.

S tím ale nesouhlasí analýza firmy Kaspersky Lab. jejich předběžná zjištění prý poukazují na to, že nejde o ransomware Petya, ale s  největší pravděpodobností o nový ransomware, se kterým jsme se doposud nesetkali. Z tohoto důvodu ho nazvali ExPetr.

Telemetrická data společnosti Kaspersky Lab doposud zaznamenala okolo 2 000 napadených uživatelů. Nejvíce obětí prý zaznamenali na území Ruska a Ukrajiny, ale mezi napadenými jsou i instituce z Polska, Itálie, Velké Británie, Německa, Francie, Spojených států a mnohých dalších zemí.

Check Point podle svých slov zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů. „Naše analýza potvrdila, že ransomware zneužívá pro své šíření SMB zranitelností,“ říká Daniel Šafář z Check Pointu.

To potvrzuje i Eset - nový ransomware se podle něj šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací.

ICTS24

„Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomwaru a většina zranitelností již byla záplatována,“ vysvětluje Lipovský.

Škodlivému kódu podle něj stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů.