Vyděračský vir napadl i Česko. Neplaťte výkupné, varují experti

AKTUALIZOVÁNO (aktualizováno: 28. 6. 2017 17:47) - Aktuality autor: šar

Nová vlna kybernetických, vyděračských útoků zasáhla i Českou republiku. Ta je podle antivirové společnosti Eset osmým nejvíce postiženým státem. První zprávy o útocích přišly v úterý z Ruska a z Ukrajiny, problémy se však začaly rychle šířit také do dalších zemí. Terčem se stala řada podniků a institucí. Experti uvedli, že platit výkupné kvůli zablokovanému e-mailovému účtu hackerů nemá cenu. Ve středu se prý podařilo šíření nákazy z velké části zastavit.

Ilustrační snímek

Ilustrační snímek,zdroj: ThinkStock

Česka se útok podle Národního bezpečnostního úřadu nakonec týkal spíše okrajově, státní úřady ani firmy důležité pro chod státu napadeny nebyly. Terčem se stala například francouzská stavební skupina Saint-Gobain, která působí i v tuzemsku, provoz v jejích závodech ale hackeři nenarušili. Napadena byla i ruská pobočka české skupiny Home Credit, která uvedla, že nepřišla o žádná klientská data a že bankovní operace útok neovlivnil.

Podle Eset je Česko na sedmém až osmém místě co do rozšíření nákazy s podílem 0,8 procenta napadených počítačů. Těch mají být celkem tisíce. Podle Esetu byl ale útok primárně cílený na Ukrajinu, kde jsou více než tři čtvrtiny ze všech napadených. Napadena byla mimo jiné ukrajinská centrální banka, mezinárodní letiště Borispol, kyjevské metro nebo jaderná elektrárna Černobyl. 

Podle Esetu se nový škodlivý software šíří podobně jako vyděračský program WannaCry, jenž napadl statisíce počítačů minulý měsíc. Navíc využívá nástroj pro vzdálenou instalaci a spouštění libovolných aplikací. "Škodlivému kódu stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů," uvedl analytik Esetu Robert Lipovský.

Obzvlášť tvrdě byla v úterý virem zasažena Ukrajina, kterou podle tamního ministerstva vnitra postihla největší vlna hackerských útoků v historii země. "Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech. Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně České republiky," popsala v úterý společnost Eset.

Mezi dalšími zasaženými zeměmi firma Eset jmenovala také Španělsko a Indii. Již v úterý bylo známo, že ransomware napadl počítače a elektronickou infrastrukturu například dánského rejdaře Maersk, britské reklamní společnosti WPP, nizozemské zasilatelské firmy TNT, amerického výrobce léků Merck či největší ruské ropné společnosti Rosněfť.

Hackeři podle Esetu žádají od svých obětí platbu 300 dolarů, tedy zhruba 7000 Kč, jinak napadené a zašifrované zařízení neuvolní.

Neplaťte výkupné, e-mail nefunguje 

Jenže platit výkupné podle středečního vyjádření expertů nemá cenu. Oběti nemohou kontaktovat hackery, kteří za útokem stojí, neboť e-mailovou schránku, kterou si útočníci pro komunikaci ohledně výkupného a odblokování zašifrovaných dat zřídili, německý poskytovatel elektronické pošty Posteo zrušil. 

Lidé, jejichž počítačová data vir zašifroval, jsou tak nyní podle portálu The Verge v pasti. Může za to totiž nestandardní přístup hackerů k platbám výkupného. Různé typy ransomwaru běžně využívají pro každého napadeného jedinečné platební spojení, což usnadňuje identifikaci a následné odblokování dat. V případě nového viru se hackeři spolehli pouze na jediný platební účet s tím, že postižení se po převodu výkupného musí e-mailem obrátit na adresu wowsmith123456@posteo.net s potvrzením platby, aby následně mohli získat klíče k dešifrování dat.

"Nebudeme tolerovat žádné zneužívání naší platformy," uvedla společnost Posteo v prohlášení ohledně zrušení účtu a její zástupci dodali, že okamžité zablokování zneužitých účtů považuje za nezbytné opatření.

Napadení tak lidé sice nadále mohou výkupné platit, ale kontaktovat hackery již nedokážou. Další převody proto nemají smysl. Prozatím podle The Verge není známo, zda se některému z postižených uživatelů po aktuálním útoku podařilo ještě před zablokováním poštovní schránky hackerů procesem dešifrování dat úspěšně projít. Zaznamenáno dosud bylo zhruba dvacet plateb výkupného. 

Odkud vir pochází? 

Zatímco společnosti na celém světě se potýkají s následky útoku vyděračského viru, kybernetičtí experti spekulují o o jeho původu. Vzhledem k nestandardní komunikaci mezi postiženými a hackery se mnozí analytici podle portálu The Register kloní k tomu, že cílem útoku nebylo získat výkupné, ale rozsévat chaos.

Virus dostal prozatím název NotPetya. Na první pohled totiž škodlivý software připomíná vir Petya, případně jeho vylepšenou verzi Petrwrap, který byl poprvé zaznamenán v loňském roce.

"Podobnost s virem Petya je pouze povrchní," upozorňuje však bezpečnostní analytik vystupující pod přezdívkou The Grugq. "Ačkoli je zde významná část převzatého kódu, skutečný vir Petya byl zločineckým produktem s cílem získat peníze. Úkolem toho nového rozhodně není vydělat peníze. Byl navržen tak, aby se rychle šířil a škodil," dodal s tím, že škodlivý software tak činí pod krytím jako ransomware.

O tom, že vir není Petya či jeho modifikace, ale úplně nový program, který se jako Petya tváří, nepochybuje ani ruská antivirová společnost Kaspersky Lab.

Zachraňte si data 

Podle firmy Symantec, která se rovněž věnuje antivirové ochraně, vir zčásti využívá již déle známou bezpečnostní díru systémů Windows, podobně se choval v květnu ransomware WannaCry. V sítích se pak nový vir dokáže snadno šířit převzetím administrátorských práv.

Novinka také oproti jiným typům ransomwaru nešifruje postupně celý disk, což mnohdy trvá i několik hodin, ale při restartu počítače přepíše hlavní spouštěcí záznam na pevném disku, poté pak uživatelská data zahesluje.

Právě moment, kdy se při restartu na obrazovce počítače objeví informace o opravě souborového systému, je podle kybernetického odborníka Hacker Fantastic proces šifrování disku. V takovém případě radí počítač okamžitě vypnout, a data tak díky tomu zachránit.

Pokud se však šifrování disku dokončí, je podle The Register zřejmě na jakoukoli záchranu souborů pozdě. Tradičním protilékem na veškeré kybernetické útoky, ale i na mechanické poškození disků, je tak pravidelné zálohování dat, což bezpečnostní experti neustále připomínají.

Tagy: Rusko zahraničí Ukrajina virus domácí vydírání kyberzločin média a internet kybernetická bezpečnost zločiny a kriminalita

Zdroje: ČTK