Groźny atak ransomware GoldenEye / Petya na skalę światową
Bitdefender zidentyfikował groźny atak ransomware, który osiąga obecnie zasięg ogólnoświatowy.
Aktualizacja 28.06 (godz. 07:00)
Coraz więcej dowodów wskazuje na to, że kampania #GoldenEye / #Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych
Aktualizacja 28.06 (godz. 05:00)
Adres poczty elektronicznej wykorzystywanej przez podmioty zagrażające do otrzymywania potwierdzeń płatności został zawieszony przez Posteo. Oznacza to, że wszystkie płatności dokonywane nocą nie będą mogły zostać zweryfikowane, a zatem na pewno nie otrzymasz klucza odszyfrowywania. Nie, że kiedykolwiek doradziliśmy inaczej, ale jeśli planujesz zapłacić okup – natychmiast o tym zapomnij. I tak stracisz dane, a dodatkowo przyczynisz się jeszcze do finansowania nowego złośliwego oprogramowania. Po zawieszeniu adresu email dokonano jeszcze 15 płatności. Zawartość portfela wynosi obecnie 3.64053686 BTC z 40 płatności, a ich wartość netto to 9000 USD.
Aktualizacja 27.06 (godz. 20:30)
Kilka głosów w branży spekulowało, że pierwotny wektor ataku stanowiła kompromisowa aktualizacja narzędzia do zarządzania rachunkowością M.E. Doc, wykorzystywanego przez wszystkie dotknięte zagrożeniem firmy. Potwierdziliśmy też naruszenia w firmach, które nie korzystały ze wspomnianego oprogramowania. Ponadto w artykule na profilu Fabebook firmy sprzedawca zaprzecza zarzutom [ukraiński].
Aktualizacja 27.06 (godz. 19:18)
Jak dotąd, kilka firm potwierdziło, że padły ofiarą GoldenEye / Petya ransomware. Są wśród nich system monitorowania promieniowania elektrowni w Czarnobylu, kancelaria DLA Piper, firma farmaceutyczna Merck, banki, lotnisko, metro w Kijowie, duńska firma zajmująca się żeglugą i energią Maersk, brytyjski reklamodawca WPP i rosyjska firma przemysłu naftowego Rosnoft. Ataki rozprzestrzeniły się na Ukrainie, dotykając Ukrenergo – państwowego dystrybutora energii, i kilka krajowych banków.
Aktualizacja 27.06 (godz. 17:45)
Operatorzy GoldenEye / Petya otrzymali już 13 płatności w ciągu niespełna dwóch godzin. Wynoszą one 3500 USD w cyfrowej walucie.
Aktualizacja 27.06 (godz. 17:30)
Bitdefender Labs potwierdza, że ransomware GoldenEye / Petya wykorzystuje exploity EternalBlue do rozprzestrzeniania się z jednego komputera na inny. Inne exploity są również wykorzystywane do rozprzestrzeniania. Szczegóły wkrótce.
Tło historii:
Bitdefender zidentyfikował groźny atak ransomware, który osiąga obecnie zasięg ogólnoświatowy. Wstępne informacje pokazują, że próbka złośliwego oprogramowania odpowiedzialna za zakażenie jest prawie identycznym klonem rodziny ransomware GoldenEye. W chwili pisania tej wiadomości, nie ma informacji na temat sposobu rozmnażania się tego zagrożenia, ale zakładamy, że jest on przenoszony przez zainfekowany komponent.
W przeciwieństwie do większości ramsonware, nowy wariant GoldenEye ma dwie warstwy szyfrowania: szyfrowanie plików docelowych na komputerze oraz szyfrowanie struktur NTFS. To podejście uniemożliwia ofiarom uruchamianie komputerów w środowisku systemu operacyjnego iOS i odzyskanie zapisanych informacji lub próbek.
Podobnie jak Petya, GoldenEye szyfruje cały dysk twardy i odmawia użytkownikowi dostępu do komputera. Jednak w przeciwieństwie do Petyi, nie ma obejścia, aby pomóc ofiarom w odzyskaniu kluczy deszyfrowania z komputera.
Co więcej, po zakończeniu procesu szyfrowania, ransomware ma specjalistyczną komendę, która powoduje awarię komputera prowadzącą do ponownego uruchomienia, co czyni komputer bezużytecznym do momentu zapłaty okupu w wysokości 300 USD.
Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.
Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.
Źródło: Bitdefender.pl
Źródło: Bitdefender Labs
dodane przez MARKEN
poleca:
