Znanost in tehnologija

Kibernetski napad prizadel tudi podružnico multinacionalke v Sloveniji

Ljubljana, 28. 06. 2017 08.00 |

PREDVIDEN ČAS BRANJA: 4 min

Podjetja po vsem svetu poročajo o hekerskem napadu z izsiljevalskim virusom Petrwrap/Petja, prvo prijavo so prejeli tudi v Sloveniji, gre za podružnico multinacionalke. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry. 

Podjetja po vsem svetu poročajo o hekerskem napadu z izsiljevalskim virusom Petrwrap/Petja. Virus zaklene računalnik in zahteva odškodnino. 

Najprej so o napadih poročali v Rusiji in Ukrajini, kjer so bile tarče vlada, banke, pa tudi kijevsko letališče in sistem podzemne železnice. Prizadeta je bila tudi nuklearna elektrarna v Černobilu, kjer so ugasnili računalniški sistem in nivoje radioaktivnosti merijo ročno. 

Če ste žrtev tega izsiljevalskega virusa, sistem na novo postavite iz varnostnih kopij. V primeru, da varnostnih kopij nimate, kontaktirajte nacionalni center SI-CERT na elektronski naslov cert@cert.si. Plačilo odkupnine trenutno ni smiselno, saj je elektronski naslov napadalca že blokiran.

Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam okužbe na SI-CERT svetujejo preventivno menjavo vseh gesel, ki bi lahko bila ukradena.

Na spletu je sicer najti informacije, da se zagon virusa lahko ustavi s kreiranjem datoteke c:Windowsperfc, vendar jih na SI-CERT trenutno ne moremo z gotovostjo potrditi in ta ukrep še preverjamo.

Nato se je virus v nekaj urah razširil na zahod Evrope in v ZDA, pa tudi v Avstralijo, kjer so napadli tovarno čokolade Cadbury. Med napadenimi podjetji so med drugim britanski oglaševalski gigant WPP, francosko gradbeno podjetje Saint-Gobain in tudi ruski jeklarski in naftni podjetji Evraz in Rosneft. O napadu poročajo tudi iz danskega podjetja Maersk, španskega prehrambenega podjetja Mondelez, ki med drugim izdeluje piškote Oreo in čokolado Toblerone, med napadeni je tudi ameriško farmacevtsko podjetje Merck. 

Prva prijava tudi v Sloveniji, gre za podružnico multinacionalke

Na odzivnem centru Si-CERT so danes okoli 11. ure dobili prvo prijavo okužbe z novim izsiljevalskim virusom.

Doslej edina slovenska prijava okužbe z izsiljevalskim virusom po nedavnem kibernetskem napadu je prišla od slovenske podružnice multinacionalke, je povedal vodja Nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij (Sicert) Gorazd Božič. Podrobnosti napada strokovnjaki še raziskujejo.

Dosedanje ugotovitve po Božičevih besedah kažejo, da se je napad širil pretežno prek omrežij multinacionalk. Podrobnosti glede slovenske prijave napada Božič sicer ni razkril. Domnevno naj bi bil glavni vir prenosa virusa sistem za nadgradnjo računovodske programske opreme, ki jo izdelujejo in prodajajo v Ukrajini. To po Božičevih besedah pojasnjuje tudi navedbe, da se je napad razširil iz Ukrajine.

Okužbe so sicer opazili tudi v podjetjih, ki te programske opreme ne uporabljajo. Tako se je virus najverjetneje širil tudi prek elektronske pošte in nato izkoristil ranljivost notranjih omrežij podjetij, je pojasnil Božič.

Previdno pri odpiranju elektronske pošte.
Previdno pri odpiranju elektronske pošte. FOTO: Thinkstock

Širi se prek e-pošte

Virus Petja je po poročanju tujih medijev skrit v dokumentu, ki se širi prek elektronskih sporočil. Gre za podoben napad, ki ga je svet doživel prejšnji mesec z virusom Wannacry.

''Virus se širi tako po elektronski pošti kot RTF priponka (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199, po okužbi pa skuša okužiti sisteme na lokalnem omrežju preko ranljivosti MS17-010 in z uporabo funkcionalnosti WMI (Windows Management Instrumentation). Po okužbi zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR) in ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo,'' so sporočili iz slovenskega odzivnega centra SI-CERT. 

Izsiljevalski virus po njihovih navedbah vsebuje funkcionalnost t.i. črva, ki se lahko samodejno širi po omrežju. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry. 

''Tokratni virus se poleg izkoriščanja omenjene Windows ranljivosti, širi tudi prek elektronske pošte z okuženimi priponkami ter v lokalnem omrežju z uporabo funkcionalnosti WMIC/PsExec. Če ima okužen računalnik pravice tudi na drugih računalnikih v omrežju, virus zašifrira datoteke tudi tam, čeprav so računalniki redno posodobljeni.''   

Splošna priporočila so, da delajte kopije svojih dokumentov, redno posodabljajte Windowse, še posebej pa bodite previdni pri odpiranju elektronskih sporočil s priponkami pdf ali word, predvsem, če takšnih sporočil ne pričakujete oziroma ne poznate pošiljatelja. 

Virus nato zahteva plačilo odkupnine z virtualno valuto bitcoin. Napadalci zahtevajo 300 dolarjev ali 264 evrov. Elektronski naslov wowsmith123456@posteo.net za komunikacijo z žrtvami je nemški ponudnik Posteo blokiral, kar pomeni, da napadalci do svojega poštenega nabiralnika ne morejo. 

Od kod izvira virus, še ni znano, saj je skoraj neizsledljiv, a domneva se, da izvira iz Ukrajine. Rusko antivirusno podjetje Kaspersky Lab je sporočilo, da naj bi bilo okoli 2000 napadov, večina v Ukrajini, Rusiji in na Poljskem. Ameriški urad za nacionalno varnost žrtvam svetuje, naj ne plačujejo odškodnine, saj ni zagotovila, da bodo tako dobili dostop do svojih dokumentov. 

Strokovnjak Chris Wysopal iz Veracoda je za BBC dejal, da se tokratni virus širi preko enake luknje v Windowsih, ki jo je izkoriščal že Wannacry. Številne družbe teh lukenj niso zakrpale, ker so Wannacry tako hitro ustavili. Še posebej na udaru so nekatera industrijska podjetja, ki se pogosto z zamudo odzovejo na internetne ranljivosti. To pa predvsem zato, ker pri nekaterih podjetjih sistemi delujejo neprestano. 

Pojasnil je, da so kopije virusa že testirali, kako so antivirusni programi uspešni pri njegovem zaznavanju, in le dva sta ga zaznala in ustavila. 

  • 8
  • 7
  • 6
  • 5
  • 4
  • 3
  • 2
  • 1

KOMENTARJI (79)

Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

TistoPravo
29. 06. 2017 08.22
+0
Kriptovalute, še malo...pa bo konc :)
marston
28. 06. 2017 21.12
-1
drzava bo pomagala zavarovalnicam povečat prihodek
vvrhovec
28. 06. 2017 21.10
-7
kr neki, če si vsaj mal računalniško pismen sa. v google vpišeš kako na novo vspostaviš mbr in potem lahko tudi unformat in to je to
suzuki1000
28. 06. 2017 21.20
+6
TehnoSan01
29. 06. 2017 10.00
+2
Ti pa si pr ta bistrih doma a ne? A ti ves sploh kako sploh ta virus deluje? Glede na odgovor najverjetneje ne, tako da naj ti malo pomagam razumet v cem je problem. Ko prizges na novo racunalnik lahko dostopas samo do sporocila katerega ti ga virus prikaze in do nicesar drugega, tako da ne moras iti na google in to kar magicno odpravit, prav tako ti podatke šifrira tako da potrebujes sifro da lahko sploh desifriras... Tako da ni tako enostavno odpravit tega, drugace sploh nebi bilo toliko govora o tem....
vvrhovec
28. 06. 2017 21.10
-5
kr neki, če si vsaj mal računalniško pismen sa. v google vpišeš kako na novo vspostaviš mbr in potem lahko tudi unformat in to je to
suzuki1000
28. 06. 2017 21.09
-1
intercars centrala poljska... sem pa frej juhej hehehe
gosenica111
28. 06. 2017 19.13
kako veste da JE TNT
Ciymbalta
28. 06. 2017 19.05
+1
PANIKA PANIKA PANIKA
SirNoxy
28. 06. 2017 18.38
+3
Če bi bil folk pameten in bi na konc UTP kabla kondom nataknu se jim to ne bi dogajalo...
lipov list
28. 06. 2017 18.32
+0
nimam računalnika..me ne zanima
mufic
28. 06. 2017 18.26
-2
Ce ne znas opravljat z racunalnikom potem je bolje da v role vzames kramp pa lopato,tezav z virusi nebos imel.Ker pa vecina folka se vedno ne zna druga uporabljat kot pa Windows,je pač tko.
malimoz2012
28. 06. 2017 18.22
+1
Najvecja laz oziroma panika medijev.
Jožajoža
28. 06. 2017 17.26
+2
GLAVNO DA FACEBUK DELUJE. kaj pa briga nas razočarane gospodinje kibernetični napad. me potrebujemo fizični vdor v osebni "računalnik".
torkov
28. 06. 2017 17.05
Sicer pa ta rešitev, ki so jo predstavili, je čisto super in ne bo vplivala na vaš računalnik.
torkov
28. 06. 2017 17.05
-1
Bo vplivala na druge v mreži, a vseeno. Sicer pa backup na dveh virih in je stvar rešena.
Ramzess
28. 06. 2017 16.08
+17
Katero podružnico katere multinacioalke, zakaj skrivnosti?
Ardus
28. 06. 2017 16.17
-1
ni skivnost...ta multinacionalka je javna uprava...še kakšno vprašanje ?
nesebat
28. 06. 2017 16.26
+14
ochi
28. 06. 2017 17.29
+0
Kako je javna uprava multinacionalka? A majo še hrvate pa bosnjake čez?
mufic
28. 06. 2017 15.14
+4
Vi ker odpirajte še naprej datoteke kot so .exe. :-))
diocles
28. 06. 2017 15.18
+2
sej niti ni treba odpirat exe, zadosti so kake simpatične nagajive animacije al pa anketa kašn tip moškega/ženske rabiš
mufic
28. 06. 2017 15.27
-19
modelx
28. 06. 2017 16.32
+7
znanec pravi temu polizdelek, ker tudi celo jabolko ni
torkov
28. 06. 2017 16.51
+5
ne rabiš odpirati. Lahko pride skozi eno od že znanih lukenj v sistemih (ne odpravljajo se tako hitro kot to misliš). Lahko pridejo tudi preko maila, kjer ti na primer Outlook ne naloži slik in jih nato sam, ko te vpraša in se s tem zažene koda. Lahko pa tudi skozi take banalne stvari, kot je navaden url naslov (tudi ta) tako, da v kodo (skoraj vsaka spletna stran ima tudi svoje luknje, sploh starejše jih imajo veliko) spletne strani naložijo škodljivo kodo, ki se aktivira takoj, ko stran obiščeš.
torkov
28. 06. 2017 16.55
+3
V primeru tega se je pa največ računalnikov okužilo tako, da je bila na elektronski naslov prejeta prošnja za zaposlitev in je bil namesto CV v sporočilu črv, kar pa pri normalno napisanem sporočilu ne moreš ugotoviti. Edina rešitev je stalni backup vsaj na dveh virih in si rešen :)
1airbus
28. 06. 2017 16.57
-4
PickaKadicka
28. 06. 2017 17.52
+2
Kje pa piše, da mora bit exe datoteka, teslo. Lahko je navaden javascript.
diocles
28. 06. 2017 15.08
+0
k bistevno da majo bejbe (ki nimajo drgač kej dost pojma o računalnikih) vse twitterje facebooke, instagramet etc in velik spremljevalce ki jih obveščajo o vsakem prdcu ki se potem virusno lajka
jakec1575
28. 06. 2017 14.33
+2
Vsi operacijski sistemi so delani namerno za ranljivostmi. teso celo specificirane. V zDA velja takoimenovani zakon tajnosti in pogodba z delodajalcem, da ce govoris kaj o tem, letis v cuzo za dolg casa, pa se kak penzion sklad ti blokirajo, da spravijo na cesto tvojo familijo. Luknje, ki so misljene za obvescevalne sluzbe, solepo darilo tudi za inovativne hekerje. je pa zanimivo, da se je virus razsirlil takoj ko je google v EU izgubil tozbo za 2,4 mrd. In google sodeluje s paleto od NSA dalje.
mufic
28. 06. 2017 15.15
-2
Zanimivo da jaz pa na mojem macbooku se nikoli nisrm virusa fasal.
112011
28. 06. 2017 16.04
+12
ne, ker ti ga imaš v glavi, se ti je že dolgo nazaj iz jabuke v glavo naselil ....
mufic
28. 06. 2017 16.08
-7
Hvala za izvirno pojasnilo.Bolje črv kot pa nič.
ochi
28. 06. 2017 17.31
+6
Mac ne rabi virisov ker te gledajo kot meso v delikatesi
Boogie Weed
28. 06. 2017 14.12
+4
Ne mislit se da si varen z nanovejsimi windowsi max. updejtani ali unixom, linoxom ali solarisom. Za vse sisteme obstajajo zero day exploiti, to so odprta vrsta v sistem po domače in ce si na netu in ce nmaš military grade firewala si sitting duck. Preselili smo vojno in terorizem se v tehnosfero. Najbolj me skrbi da bo dolgorocno to izgovor elit da bo internet postal vedno manj svoboden in bolj pod kontrololo
DeBill
28. 06. 2017 14.01
+0
počasi razmišljam, da bom en server z OpenVMS postavil, sam kaj, ko rabiš Alpho al pa Itaniuma, upam da to še delajo.
jesenvoyo
28. 06. 2017 13.58
Torej naj bi bila glavna težava pošta in neprevidno odpiranje raznih njenih priponk. Torej bi za to aktivnost (pošto) namenili ločene manjše (mini) računalnike, ne pa tako kot sedaj.