Ransomware Petya - doplňující informace

Nová varianta Petya ransomware, také známá jako Petwrap, Nyetya nebo Petya.A - pravděpodobně verze Petya/Misha alias GoldenEye, se rychle rozšiřuje a celosvětově je na něj soustředěna pozornost. Na rozdíl od běžných variant ransomware rodiny Petya nešifruje soubory oběti jeden po druhém, ale infikovanou stanici restartuje a následně zašifruje hlavní tabulku souborů (MFT - Master File Table) obsahující záznamy o všech souborech, adresářích a metadatech na cílovém systému. Petya ransomware pak nahradí MBR (Master Boot Record) vlastním škodlivým kódem, který zobrazuje zprávu o infekci s požadavky na výkupné a počítač nemůže dále pokračovat v zavadění operačního systému.
Petya využívá zranitelnost známou jako EternalBlue a šíří v interních sítích se službami WMIC (Windows Management Instrumentation Command-line) a PSEXEC a může infikovat také plně aktualizované systémy. Zvýšená aktivita v souvistosti s tímto ransomwarem byla zaznamenána především na portech 445 a 139.
Autoři malwaru žádají po obětech výkupné v bitcoinech v hodnotě zhruba 300 USD. Obecně je v případě ransomwaru doporučeno neplatit. V případě Petya je z náhledu bitcoinové peněženky vidět, že některé oběti již zaplatily, přesto ale není znám případ, kdy by k rozšifrováni souborů došlo. E-mail, který má sloužit na komunikaci s útočníkem (wowsmith123456@posteo.net) byl již navíc zrušen e-mailovým providerem Posted.de.

Dle našich aktuálních informací není Česká republika v porovnání s jinými státy nikterak výrazně zasažena.

Některé další informace:
- z povahy šíření i zranitelnosti ransomwaru jsou ohrožené stanice a servery používající operační systémy Windows
- prozatím se zdá, že nejohroženější (nejvíce postižené) jsou stanice s operačním systémem Windows 7
- není stále jisté, zda je ransomware vyžaduje interakci uživatele k započetí samotného procesu šifrování

Opatření ke zmírnění dopadů:
- zakázání služby WMIC (Windows Management Instrumentation Command-line)
- k prevenci infekce, je dle posledních zpráv možné vytvořit soubor s názvem perfc v adresáři C:Windows
- proces šifrování začíná po restartu počítače, v případě, že se stanice restartuje a na obrazovce se objeví zpráva o výkupném, je doporučeno počítač okamžitě vypnout
- pravidelné zálohy systému a souborů jsou stále nejspolehlivější obrana proti ransomware
- přidání pravidla na routeru či firewallu k zablokování příchozího SMB provozu na portu 445 z nedůvěryhodných zdrojů, navíc je doporučeno také filtrování komunikace služby NetBIOS na portu 139, aby bylo ransomwaru zabráněno infikovat ostatní zařízení ve stejném segmentu sítě
- pravidelné udržování posledních verzí antivirových signatur

Analýzy a užitečné odkazy:
- Avast
- TrendMicro
- Microsoft
- Cisco Talos
- Kaspersky
- Malwarebytes - ThaiCERT
- https://www.govcert.cz/cs/informacni-servis/hrozby/2539-petrwrap-nova-varianta-ransomwaru/
- https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
- https://www.turris.cz/cs/news/petya-petrwrap-ransomware-utoky