Odjeljenje za informacionu bezbjednost (OIB - CERT Republike Srpske) pri Agenciji za informaciono društvo Republike Srpske (AIDRS) upozorava da je uočeno globalno širenje nove varijante poznatog „Petya“ ransomvera pod nazivom „Petwrap“.
„Petwrap“ se širi eksploatacijom poznate SMB ranjivosti koja je korišćenja za širenje „WannaCry“ ransomvera, koji je u roku od 72 sata zarazio preko 300.000 računara. Ovaj virus koristi modifikovani alat „EternalBlue“, navodno kreiran od strane NSA, i dva alata za „Windows“„ WMIC“ i „PsExec“.
„Za razliku od 'WannaCry' koji je ciljao neažurne verzije 'Petwrap' ima mogućnosti napada i na računare sa ažurnim verzijama softvera. Dovoljno je da je samo jedan računar na mreži ranjiv na SMB ranjivost da se zarazi kompletna mreža ažurnih računara. 'Petwrap' je već zarazio računare u ruskoj naftnoj kompaniji 'Rosneft', kompanije za distribuciju električne energije iz Ukrajine 'Kyivenergo' i 'Ukrenergo', 'Boryspil' aerodrom u Kijevu i desetine banaka, telekomunikacionih i transportnih kompanije širom svijeta“, rekao je direktor Agencije za informaciono društvo Republike Srpske Srđan Rajčević.
#Petya encrypts ON BOOT. If you see CHKDSK message your files not yet encrypted, power off immediately. You can recover with with LiveCD. pic.twitter.com/nKL4Xixjn9
— Hacker Fantastic (@hackerfantastic) June 27, 2017
On dodaje da „Petya“ za razliku od drugih ransomvera ne enkriptuje pojedinačne datoteke. Ovaj ransomver enkriptuje MFT (Master File Table) hard diska i onemogućava pristup MBR (Master Boot Record) zaključavajući informacije o imenima, veličinama i lokacijama datoteka na fizičkom disku.
Nakon inicijalne infekcije „Petya“ restartuje računar i pokreće lažni CHKDSK proces (proces koji „Windows“ računari koriste kako bi provjerili da li se na hard disku nalaze oštećene datoteke) koji enkriptuje podatke.
„Ovim putem pozivamo sva fizička i pravna lica u Republici Srpskoj da, ukoliko uoče navedene simptome infekcije, o tome bez odlaganja obavijeste CERT Republike Srpske putem web sajta https://oib.aidrs.org ili putem e-mail adrese [email protected]. Na sajtu CERT-a su data detaljni tehnički podaci, kao i preporuke za prevenciju širenja ovog ransomvera“, naglasio je Rajčević.
OIB – CERT Republike Srpske vrši aktivan nadzor nad širenjem ove infekcije i o eventualnim pojavama „Petwrap“ ransomvera u kibernetičkom prostoru Republike Srpske, sa preporukama u vezi sanacije štete obavijestićemo javnost, stoji u saopštenju za javnost ove ustanove.