Odjel za informacijsku sigurnost (OIS- CERT Republike Srpske) pri Agenciji za informacijsko društvo Republike Srpske (AIDRS) upozorilo je danas da je uočeno globalno širenje nove varijante poznatog „Petya“ ransomvera pod nazivom „Petwrap“.
„Petwrap“ se širi eksploatacijom poznate SMB ranjivosti koja je korišćenja za širenje „WannaCry“ ransomvera, koji je u roku od 72 sata zarazio preko 300.000 računara. Ovaj virus koristi modificirani alat „EternalBlue“, navodno kreiran od strane NSA, i dva alata za „Windows“„ WMIC“ i „PsExec“, priopćeno je iz AIDRS-a.
-Za razliku od 'WannaCry', koji je ciljao neažurne verzije, 'Petwrap' ima mogućnosti napada i na računare sa ažurnim verzijama softvera. Dovoljno je da je samo jedan računar na mreži ranjiv na SMB ranjivost da se zarazi kompletna mreža ažurnih računara. 'Petwrap' je već zarazio računala u ruskoj naftnoj tvrtki 'Rosneft', tvrtke za distribuciju električne energije iz Ukrajine 'Kyivenergo' i 'Ukrenergo', 'Boryspil' zuračnu luku u Kijevu i desetine banaka, telekomunikacijskih i transportnih tvrtki širom svijeta, rekao je direktor AIDRS Srđan Rajčević.
Dodao da „Petya“ za razliku od drugih ransomvera ne enkriptira pojedinačne datoteke. Ovaj ransomver enkriptira MFT (Master File Table) hard diska i onemogućava pristup MBR (Master Boot Record) zaključavajući informacije o imenima, veličinama i lokacijama datoteka na fizičkom disku.
Nakon inicijalne infekcije „Petya“ restartuje računar i pokreće lažni CHKDSK proces (proces koji „Windows“ računari koriste kako bi provjerili da li se na hard disku nalaze oštećene datoteke) koji enkriptuje podatke.
-Pozivamo sve fizičke osobe i pravne subjekte u RS da, ukoliko uoče navedene simptome infekcije, o tome bez odgađanja obavijeste CERT Republike Srpske putem web sajta VIDEO ili putem e-mail adrese oib-cert@aidrs.org. Na stranici CERT-a su dani detaljni tehnički podaci, kao i preporuke za prevenciju širenja ovog ransomvera, naglasio je Rajčević.
