Ransomware Petya Wirus – co to jest i jak się przed nim chronić

Złośliwe oprogramowanie typu ransomware to aktualnie jedno z największych cybeberzagrożeń, na które możemy natknąć się podczas korzystania z Internetu. Praktycznie w każdym tygodniu słyszymy o spektakularnych cyberatakach z wykorzystaniem ransomware, których skutkami są wielomilionowe straty dla największych korporacji na całym świecie. Dlatego nikogo już nie dziwi to, że większość użytkowników sieci odczuwa uzasadniony strach przed tym typem złośliwego oprogramowania. Fakt ten jest często wykorzystywany przez cyberprzestępców, którzy od 2016 roku używają robaka Ransomware Petya, czyli złośliwego kodu, który podszywa się pod oprogramowanie szyfrujące.

Czym jest wirus Petya?

Początki złośliwego oprogramowania Petya sięgają 2016 roku, podczas którego doszło do ogólnoświatowej kampanii hakerskiej z wykorzystaniem tego kodu. Ofiarami tego ataku były między innymi: instytucje rządowe Ukrainy (w tym banki, ministerstwa, a nawet podmioty odpowiadające za bezpieczeństwo elektrowni w Czarnobylu), Maersk, Merck, FedEx, Saint-Gobain i wiele innych firm. Biały dom donosił, że straty wygenerowane przez Petya sięgnęły 10 miliardów dolarów. Więcej informacji na temat tego ataku mogą Państwo znaleźć w naszej relacji z 2017 roku. Do dzisiaj nie mamy pewności, kto odpowiadał za atak. Amerykanie i Brytyjczycy uważają, że był to podmiot kontrolowany przez Rosjan, a atak miał na celu wywołanie napięcia między Kijowem i Moskwą.

Złośliwe oprogramowanie Petya znacząco się różni od klasycznego ransomware, ponieważ jest viperem, który nie szyfruje po kolei danych na urządzeniu ofiary, lecz infekuje MBR i podmienia go na payload, szyfrował MFT i zmuszał użytkownika do tego, żeby zrestartował system. Gdy Petya zakończyła proces szyfrowania MFT, to użytkownik tracił dostęp do wszystkich swoich danych i na ekranie widział tylko komunikat z żądaniem okupu, który podszywał się pod klasyczne ransomware. Niestety Petya została zaprojektowana tak, aby nawet po wpłaceniu okupu nie dało się odblokować dostępu do zablokowanych danych.

Metody infekcji Petya

Wirus Petya wykorzystuje Exploit EternalBlue i gdy tylko zostanie otwarty jako plik .exe, który jest rozsyłany np. w kampaniach phishingowych, na systemie, który nie został zaktualizowany, to zaczyna infekcję komputera ofiary. Cechą charakterystyczną Petya jest pojawienie się „niebieskiego ekranu śmierci”, a następnie grafiki białej trupiej czaszki na czerwonym tle i komunikatu z żądaniem okupu w Bitcoinach w zamian za odzyskanie dostępu do danych.

Jak się chronić przed wirusem Petya?

Ochrona przed Petya Ransomware polega głównie na restrykcyjnym przestrzeganiu podstawowych zasad cyberhigieny. Poniżej wymieniamy i opisujemy najważniejsze z nich.

Aktualizacja systemu operacyjnego i oprogramowania

Petya Ransomware do infekcji wykorzystuje exploit EternalBlue, dlatego zaktualizowanie systemu operacyjnego powinno całkowicie wyeliminować ryzyko zainfekowania naszego systemu tym wirusem. Oczywiście musimy pamiętać o regularności, ponieważ zawsze może pojawić się nowa wersja złośliwego oprogramowania, która wykorzysta nowe luki w zabezpieczeniach systemu lub aplikacji.

Instalacja zabezpieczeń antywirusowych

Korzystanie ze skutecznego zabezpieczenia antywirusowego to kluczowy element każdej strategii zapewnienia cyberbezpieczeństwa. Dzięki odpowiedniemu antywirusowi, np. Bitdefender Internet Security będziesz mógł cieszyć się z pełnej ochrony przed Petya Ransomware, ponieważ wirus ten bazuje na sygnaturach, które od samego początku kampanii w 2017 roku były już w bazie danych Bitdefender. Dlatego, nawet jeśli nieopatrznie pobierzesz Petya Ransomware, to system antywirusowy go wykryje i zneutralizuje.

Regularne tworzenie kopii zapasowych danych

Kolejnym ważnym elementem cyberbezpieczeństwa jest regularne tworzenie kopii zapasowych. Jeśli to zrobisz, to nawet jeśli Twój system zostanie zablokowany, to będziesz mógł odzyskać dostęp do wszystkich swoich cennych danych.

Unikanie klikania podejrzanych linków i pobierania nieznanych plików

Jeśli chcesz zabezpieczyć się przed zagrożeniami typu wirus Petya, to warto nauczyć się nie klikania w podejrzane linki i pobierania plików nieznanego pochodzenia. Pamiętajmy o tym, aby nie otwierać łączy, które otrzymujemy w podejrzanych wiadomościach od naszych znajomych, a także unikajmy załączników z wiadomości, których się nie spodziewamy oraz pirackiego oprogramowania.

Używanie silnych haseł i dwuskładnikowej autoryzacji

Korzystanie z silnych haseł i dwuskładnikowej autoryzacji pozwoli nam uniknąć przejęcia naszego konta przez cyberprzestępców. Pamiętajmy o tym, że nawet na najpopularniejszych mediach społecznościowych co jakiś czas dochodzi do poważnych wycieków danych. W takim wypadku hakerzy mogą zakupić skradzione dane i uzyskać dostęp np. do naszych loginów i haseł. Następnie mogą zalogować się na nasze konto i wykorzystywać je do kampanii phishingowych lub śledzić nasze korespondencje. Dlatego pamiętajmy o tym, aby zawsze używać unikalnych i silnych haseł, a także korzystać z wieloskładnikowej autoryzacji. Wtedy, nawet jeśli haker przejmie login i hasło do naszego konta, to nie będzie mógł się na nie zalogować.

Edukacja pracowników w zakresie bezpieczeństwa internetowego

Edukacja pracowników w zakresie cyberbezpieczeństwa to kluczowy element zabezpieczeń dóbr cyfrowych każdej firmy. Pamiętajmy o tym, że nawet najlepszy antywirus nie będzie w stanie powstrzymać cyberzagrożenia, takiego jak Petya, gdy zostanie wyłączone przez niefrasobliwego pracownika.

Co robić, gdy już zostaniesz zainfekowany Petyą?

Jak wcześniej wspomnieliśmy aktualnie, aby zostać zainfekowanym wirusem Petya, trzeba trochę się postarać i przeciętny użytkownik sieci z antywirusem jest raczej bezpieczny, to jednak nie możemy zapominać o tym, że każdego dnia możemy zetknąć się z nowym cyberzagrożeniem, które wykorzysta inną lukę. Dlatego zespół Bitdefender przygotował krótki poradnik, co zrobić, jeśli Twój system zostanie zainfekowany Petyą lub innym podobnym złośliwym oprogramowaniem.

Po pierwsze: Nie płacić okupu

Płacenie okupu po zainfekowaniu oprogramowaniem typu Ransomware z reguły nie ma żadnego sensu. Nie tylko nie mamy żadnej gwarancji na to, że cyberprzestępcy dotrzymają słowa i oddadzą nam deszyfrator, lecz także zachęcamy ich do dalszej kryminalnej działalności. W przypadku Petya i podobnych wirusów płacenie okupu nie ma żadnego sensu, ponieważ oprogramowanie to zostało napisane w celu niszczenia danych i trwałej blokady systemów. Hakerzy odpowiedzialni za atak, nawet gdyby chcieli (co jest wątpliwe), to nie mają możliwości usunąć skutków infekcji.

Po drugie: Skontaktować się z odpowiednimi służbami

Jeśli już padniesz ofiarą Petya Ransowmare lub innego złośliwego oprogramowania, które próbuje wyłudzić od Ciebie okup, to powinieneś skontaktować się z policją i wysłać zawiadomienie do CERT Polska. Jeśli łupem hakerów padła Twoja firma, to musisz pamiętać także o poinformowaniu UODO.

Po trzecie: Przeskanować system antywirusem i spróbować odblokować dane

Pamiętaj także, że nawet po infekcji Twojego systemu być może uda się go jeszcze uratować. Jeśli szybko zareagujesz i przeskanujesz system antywirusem, to być może uda się odizolować zagrożenie, zamknąć je w bezpiecznym środowisku i zneutralizować.

Ransomware Petya wnioski na przyszłość

Kampania hakerska z wykorzystaniem złośliwego oprogramowania Petya jasno pokazuje nam, do czego może doprowadzić nieprzestrzeganie zasad cyberhigieny. Dlatego to bardzo istotne, abyśmy zawsze o nich pamiętali i wymagali od naszych pracowników tego, żeby się do nich dostosowywali. Pamiętajmy także o tym, aby zawsze korzystać z odpowiedniego systemu antywirusowego. Jeśli chciałbyś porozmawiać z naszym ekspertem do spraw cyberbezpieczeństwa i otrzymać niezobowiązującą ofertę, to zapraszamy do kontaktu.